Wednesday, December 22, 2010

Waarom Exchange migreren zonder HA geen goed idee is…

Deze week is het volgende artikel verschenen op msexchange.org: How to migrate from Exchange 2007 CCR to Exchange 2010 DAG on existing hardware (Part 1) Dit artikel deed mijn wenkbrauwen fronsen, om te begrijpen waarom zal ik eerst kort uitleggen wat de strekking van het artikel is.

De auteur schetst het scenario van een bedrijf dat graag wil upgraden naar Exchange 2010 High Availability (DAG) en nu beschikt over een Exchange 2007 omgeving met daarin twee servers in een CCR opstelling. Het artikel beschrijft een methode om de hardware van het CCR cluster te kunnen hergebruiken voor Exchange 2010 en wel door de volgende stappen te nemen:

  • Eén node van het Exchange 2007 CCR cluster afbreken
  • De server opnieuw voorzien van een OS en Exchange 2010 installeren
  • Het aanmaken van een DAG en de server lid maken van de DAG
  • Mailboxen verhuizen naar de Exchange 2010 server
  • De andere Exchange 2007 CCR clusternode afbreken
  • De server opnieuw voorzien van een OS en Exchange 2010 installeren
  • De server lid maken van de DAG en een replica van de database aanmaken

De afzonderlijke stappen in deze procedure zijn in principe goed beschreven en worden afzonderlijk volledig ondersteund door Microsoft. Waarom ik dan toch moeite heb met deze strategie? Dat is het risico wat je introduceert met deze werkwijze, dat zal ik in de volgende paragraven verder uitleggen.

Hoge beschikbaarheid

Het bedrijf heeft bij het ontwerpen van de Exchange 2007 omgeving gekozen voor hoge beschikbaarheid, namelijk door te investeren in CCR. Ik gebruik het woord investeren bewust, want CCR is een kostbare oplossing. Niet alleen stelt het eisen aan de hardware en kost het dure Exchange 2007 Server Enterprise Edition licenties, CCR brengt ook een behoorlijke complexiteit en dus beheerlast met zich mee.

Maar ook voor Exchange 2010 heeft klant weer gekozen voor hoge beschikbaarheid. Daar mag je toch uit afleiden dat de beschikbaarheid van de e-maildienst en –data van groot belang is voor deze onderneming. Hoe kan het dan dat de eerste stap in bovenstaand scenario het weghalen van hoge beschikbaarheid is? Zijn de eisen voorlopig even versoepeld? Is eventueel dataverlies nu even wat minder onacceptabel dan voor en na de migratie?

Kans op downtime

Uitval (of downtime) van de e-mail dienst komt zelden uit de lucht vallen. Natuurlijk kan er altijd compleet onverwacht een software bug optreden, maar de kans op downtime schiet toch wel omhoog wanneer er aan de omgeving gesleuteld moet worden. Installatie of deïnstallatie van componenten, DNS records, aanpassen van firewalls en proxyservers, een foutje is dan snel gemaakt. En laten dat nu juist de handelingen zijn die inherent zijn aan een upgrade naar Exchange 2010.

Tijdsdruk

De auteur verdedigt het vergroten van het risico en gemis aan hoge beschikbaarheid met het argument dat je het tijdsbestek zo kort mogelijk kunt houden. En dat brengt mij bij het volgende punt: tijdsdruk. Mijn ervaring uit de praktijk is dat een succesvolle migratie er eentje is waarbij je goed kon plannen, voorbereiden en alle stappen rustig en gecontroleerd kon laten verlopen. Dat betekent bij voorbeeld dat je na iedere ingrijpende stap even in de application logs kijkt om te zien of er problemen zijn opgetreden.

Maar een nieuwe versie van Exchange betekent ook dat je randzaken als backup en monitoring in moet regelen. Niet zelden valt dit samen met een update of zelfs upgrade van backupsoftware en soms issues met de eerste paar keren dat een backup of restore uitgevoerd wordt. Had ik anti-virus al genoemd? De mogelijkheid om met enkele gebruikers als eerste over te stappen? Herinnert iemand zich de onaangename verassingen met Outlook 2003 in combinatie met Exchange 2010 nog?

Conclusie

Concluderend kunnen we dus vaststellen dat we enerzijds ons vangnet weghalen en aan de andere kant de risico’s bewust groter maken. Het voordeel is dat je twee bestaande servers opnieuw in kunt zetten voor hun nieuwe taak. Wegen de nadelen op tegen de voordelen? Die keuze mag ieder voor zich maken. Maar zeg niet dat je niet gewaarschuwd bent.

Wednesday, December 15, 2010

Exchange 2007/2010 realtime message tracking

Exchange Message Tracking is het bijhouden (‘tracken’) van een bericht en zijn reis door de Exchange organisatie. Message tracking vind plaats op iedere Exchange 2007/2010 server met de Edge Transport, Hub Transport of Mailbox rol.

Er zijn grofweg twee methodes om de message tracking logs te bekijken, ofwel met het Get-MessageTrackingLog cmdlet, ofwel met de Tracking Log Explorer welke je kunt vinden in de Toolbox. Overigens gebruikt de Tracking Log Explorer onder de motorkap ook gewoon het Get-MessageTrackingLog cmdlet, dat zie je onderaan het scherm:

image

Onlangs vroeg een klant mij of hij deze logbestanden ook realtime kan raadplegen. Die functionaliteit zit standaard niet in Exchange maar is met PowerShell eenvoudig te maken. Stel dat we bijvoorbeeld de log entries van de laatste minuut willen raadplegen, dat kunnen we doen met de –Start parameter van het Get-MessageTrackingLog cmdlet. Het handigste is om de tijd in een variabele te zetten, dan hoeven we niet te letten op de exacte formulering zoals je die in bovenstaand screenshot zien.

Zo zetten we het huidige tijdstip in een variabele:

$TijdStip = Get-Date

Met de AddMinutes methode kunnen we hier 1 minuut van afhalen (ofwel –1 minuut bij optellen) en die tijd in de variabele zetten:

$TijdStip = (get-date).AddMinutes(-1)

Nu vragen we de Message Tracking Log entries op van de laatste minuut:

Get-MessageTrackingLog -Start $TijdStip

We hebben nu gezien hoe we de log entries kunnen opvragen vanaf een bepaald tijdstip. Als we dit nu in een loop zet die elke paar seconden draait dan hebben we min of meer realtime logging:

$a = (get-date) # Zet de huidige tijd in $a, we moeten ergens beginnen…
Write-Host Semi-realtime log viewer: #
For(;;) # Start een oneindige loop
{ # Begin loop
Get-MessageTrackingLog -Start $a # Vraag entries op vanaf het tijdstip in $a
$a = (get-date) # Opdracht klaar, sla de huidige tijd weer op in $a
Start-Sleep -Seconds 5 # Wacht 5 seconden
} # Einde loop

Sla dit bestand op als tekstbestand met de .ps1 extensie, in PowerShell kun je dit ps1-bestand vervolgens aanroepen. Afbreken van de loop doe je met CTRL+C in de PowerShell console. Uiteraard kun je het script aanpassen, bijvoorbeeld om alleen entries te tonen met de EventID RECEIVE.

Meer informatie over bovenstaande onderwerpen kun je hier vinden:

Exchange 2010 SP1: Configure Message Tracking

Exchange 2007/2010: Managing Message Tracking

Using the Get-Date Cmdlet

Exchange 2010 Personal Archive en Outlook 2007: Eindelijk!

Tot nu toe was het nog niet mogelijk om het Exchange 2010 Personal Archive te benaderen met Outlook 2007, daarvoor had je echt Outlook 2010 Professional Plus nodig. Met de December verzamel-update voor Office 2007 komt daar verandering in.

image

Nu is het voor Outlook 2007 mogelijk om het volgende te doen:

  • Mail benaderen in het Personal Archive
  • Mail verplaatsen naar het Personal Archive
  • Gemachtigden kunnen het Personal Archive zien van hun manager

Ten opzichte van Outlook 2010 zijn er ook een paar beperkingen:

  • Het is niet mogelijk om te werken met het archiefbeleid
  • Je kunt met één zoekopdracht niet direct zoeken in de actieve mailboxen het archief

Deze functionaliteit zit niet in alle versies van Outlook 2007, alleen in de volgende edities:

  • Office Ultimate (retail)
  • Office ProPlus (volume license)
  • Office Enterprise (volume license)
  • Outlook Standalone (retail)
  • Outlook Standalone (volume license)

Het hele pakket met de December verzamel-updates komt binnenkort beschikbaar, maar wie nu al aan de slag wil kan de Hotfix voor Outlook 2007 los downloaden: http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2458611

Tuesday, December 14, 2010

Exchange Transporter Suite troubleshooten

Mijn collega Sander Weenen heeft onlangs een migratie van MDaemon naar Exchange 2007 uitgevoerd. MDaemon is een POP/IMAP mailserver dus de datamigratie kan uitgevoerd worden met de Microsoft Transporter Suite. Dit is een zeer eenvoudige tool die precies doet wat hij belooft: data migreren van een POP of IMAP mailbox naar Exchange 2007. Dat wil zeggen, dat hoort hij te doen. In de praktijk liep mijn collega tegen een aantal foutmeldingen aan en daarin is hij niet de enige. Bijvoorbeeld:

"Failed to retrieve the properties of a message in folder INBOX for the following reason: Failed to retrieve the properties of a message in folder INBOX for the following reason:  FETCH parse error.

Microsoft.Exchange.Transporter.TransporterException: Failed to retrieve the properties of a message in folder INBOX for the following reason: Failed to retrieve the properties of a message in folder INBOX for the following reason:  FETCH parse error.. ---> Microsoft.Exchange.Transporter.TransporterException: Failed to retrieve the properties of a message in folder INBOX for the following reason:  FETCH parse error.
   at Microsoft.Exchange.Transporter.Provider.PopImap.Imap4Client.ParseMessageProperties(RequestState`3 requestState)
   at Microsoft.Exchange.Transporter.Provider.PopImap.Imap4Client.RequestMessageProperties(Object threadParam)
   --- End of inner exception stack trace ---"

Of:

mmc.exe Warning: 0 : Aborting client operation for command ReadLine with response Failed to read response: ReadLine returned a null response..
mmc.exe Information: 0 : Microsoft.Exchange.Transporter.TransporterTransientException: Aborting client operation for command ReadLine with response Failed to read response: ReadLine returned a null response..
at Microsoft.Exchange.Transporter.Provider.PopImap.Imap4Client.readResponseLine()
at Microsoft.Exchange.Transporter.Provider.PopImap.Imap4Client.ParseMessageProperties(RequestState`3 requestState)
at Microsoft.Exchange.Transporter.Provider.PopImap.Imap4Client.RequestMessageProperties(Object threadParam)

Nu zijn er twee registry keys die de werking van de Transporter beïnvloeden, beiden kunnen helpen om foutmeldingen op te lossen. Om te beginnen is er ImapFetchBatchSize. Deze bepaalt hoeveel items er per keer gemigreerd worden en staat standaard op 2500. Deze waarde verkleinen in stapjes van 500, of gelijk op 500 zetten en vervolgens vergroten, kan problemen met vol lopende buffers verhelpen. Je kunt de key hier vinden, of aanmaken als hij nog niet bestaat:

HKCU\Software\Microsoft\Transporter\Preferences\ImapFetchBatchSize

De tweede key is PipelineFlushThresholdMB, deze bepaalt na welke hoeveelheid data het geheugen weer vrij gemaakt wordt. Standaard staat hij op 600MB maar kan voor migratie-servers met weinig geheugen verkleind worden. Je kunt de key hier vinden, of aanmaken als hij nog niet bestaat:

HKCU\Software\Microsoft\Transporter\Preferences\PipelineFlushThresholdMB

Sander bedankt!

Monday, December 13, 2010

December 2010: Nieuwe KB artikelen voor Exchange en Outlook

Hieronder vind je het overzicht van de nieuwe en bijgewerkte Microsoft knowledge-base artikelen over Exchange en Outlook.

Exchange

Microsoft Exchange Server 2003 Service Pack 2: Cross-Forest Availability for Exchange 2003 and/or 2007

http://support.microsoft.com/kb/2455134/en-US

Microsoft Exchange Server 2003 Service Pack 2: It is not recommended to journal to a distribution group with Exchange 2003

http://support.microsoft.com/kb/2458386/en-US

Microsoft Exchange Server 2007 Enterprise Edition: Build numbers and release dates for Exchange Server

http://support.microsoft.com/kb/158530/en-US

Microsoft Exchange Server 2007 Enterprise Edition: Windows Phone 7 fails to synchronize with error 0x85010013 or 0x8600C2B when connecting to Microsoft Exchange Server

http://support.microsoft.com/kb/2464593/en-US

Microsoft Exchange Server 2007 Enterprise Edition: How to obtain the latest service pack or update rollup for Exchange 2007

http://support.microsoft.com/kb/937052/en-US

Microsoft Exchange Server 2007 Service Pack 1: Description of Update Rollup 9 for Microsoft Exchange Server 2007 Service Pack 1

http://support.microsoft.com/kb/970162/en-US

Microsoft Exchange Server 2007 Service Pack 2: You cannot upgrade the cluster nodes of a clustered mailbox server to Exchange Server 2007 Service Pack 2

http://support.microsoft.com/kb/979168/en-US

Microsoft Exchange Server 2010 Coexistence: How to enable the Hierarchical Address Book feature in Microsoft Exchange Server 2010

http://support.microsoft.com/kb/973994/en-US

Microsoft Exchange Server 2010 Enterprise: You cannot create a new Exchange Server 2010 Mailbox database in a multiple domain environment

http://support.microsoft.com/kb/977960/en-US

Microsoft Exchange Server 2010 Standard: Error message when Outlook 2003 clients try to open multiple shared calendars in Exchange Server 2010: "The connection to the Microsoft Exchange server in unavailable. Outlook must be online or connected to complete this action"

http://support.microsoft.com/kb/2299468/en-US

Outlook

Microsoft Office Outlook 2003: Outlook 2003 crashes when you open a long email message on a computer that has Windows Internet Explorer 8 installed

http://support.microsoft.com/kb/2422556/en-US

Microsoft Office Outlook 2003: Description of the Office Outlook 2003 Junk Email Filter update: November 9, 2010

http://support.microsoft.com/kb/2435682/en-US

Microsoft Office Outlook 2003: How to create a .pst file in Outlook 2003

http://support.microsoft.com/kb/829971/en-US

Microsoft Office Outlook 2003: An e-mail message may not be delivered at the scheduled time when you enable the "Do not deliver before" option in an Outlook message

http://support.microsoft.com/kb/918824/en-US

Microsoft Office Outlook 2007: Items that are deleted from a shared mailbox go to the wrong folder in Outlook

http://support.microsoft.com/kb/202517/en-US

Microsoft Office Outlook 2007: Description of the Office Outlook 2007 hotfix package (Outlook-x-none.msp): October 26, 2010

http://support.microsoft.com/kb/2412273/en-US

Microsoft Office Outlook 2007: A memory leak may occur when you preview RTF items in Office Outlook 2007

http://support.microsoft.com/kb/2434607/en-US

Microsoft Office Outlook 2007: Description of the Office Outlook 2007 hotfix package (wordconv-x-none.msp, word-x-none.msp, outlook-x-none.msp): October 26, 2010

http://support.microsoft.com/kb/2436196/en-US

Microsoft Office Outlook 2007: Description of the Office Outlook 2007 Junk Email Filter update: November 9, 2010

http://support.microsoft.com/kb/2443839/en-US

Microsoft Office Outlook 2007: How to configure Outlook to a specific global catalog server or to the closest global catalog server

http://support.microsoft.com/kb/319206/en-US

Microsoft Office Outlook 2007: On a client computer that is running Office Communicator 2007, you may be unable to make a TAPI call from Outlook 2007 or Outlook 2010

http://support.microsoft.com/kb/959625/en-US

Microsoft Office Outlook 2007: Message Classifications menu items are disabled unexpectedly when Do Not Forward is disabled in Office Outlook 2007

http://support.microsoft.com/kb/981378/en-US

Microsoft Outlook 2010: Description of the Outlook 2010 hotfix package (outlook-x-none.msp): October 26, 2010

http://support.microsoft.com/kb/2405793/en-US

Microsoft Outlook 2010: Outlook Anywhere (RPC/HTTP) settings are unavailable in the Outlook 2010 Group Policy template

http://support.microsoft.com/kb/2426686/en-US

Microsoft Outlook 2010: The "File Open," "File Save," and "Insert File" dialog boxes in Microsoft Office do not show network drives in Windows XP

http://support.microsoft.com/kb/2454123/en-US

Microsoft Outlook 2010: You cannot use a manager and delegate account in the same Outlook 2010 profile

http://support.microsoft.com/kb/981245/en-US

Microsoft Outlook 2010: Error message when you start Outlook 2010: "The SharePoint external list could not be configured correctly"

http://support.microsoft.com/kb/983017/en-US

Sunday, December 12, 2010

Documentatie: Lync Server 2010 Client and Device Deployment Guide

Het uitrollen van Lync Server 2010 is een stuk verbeterd ten opzichte van Office Communication Server, dat zal iedereen die het inmiddels gedaan heeft kunnen beamen. Maar dat geldt ook voor de diverse clients, niet onbelangrijk om met Lync te kunnen werken. Microsoft heeft een whitepaper uitgebracht met de titel “Lync Server 2010 Client and Device Deployment Guide” en deze gaat precies over dat onderwerp: het uitrollen van de diverse clients voor Lync 2010.

Downloaden van het 701 kB grote bestand doe je hier: Documentatie: Lync Server 2010 Client and Device Deployment Guide

Let op: In het document wordt een aantal keer verwezen naar het bestand lync.adm welke je zou moeten vinden op de Lync client installatie cd. In werkelijkheid heet dit bestand communicator.adm maar kun je het niet vinden in de Lync client download van Technet of MSDN. Wel op de Skydrive van Ruben Nauwelaers.

Thursday, December 2, 2010

Load balancing Exchange 2010 voor Outlook clients, een voorbeeld uit de praktijk. (deel 1)

Onlangs heb ik bij een kleine onderneming een Exchange 2010 omgeving ontworpen en gebouwd. In dit artikel wil ik wat meer vertellen over het ontwerpen van deze omgeving en dan met name met betrekking tot hoge beschikbaarheid. Het is niet mijn bedoeling om alle details of verschillende opties te benoemen, meer om een globaal idee te geven van hoe zo’n omgeving in de praktijk tot stand komt. In het tweede deel van dit artikel zal ik wat dieper ingaan op de configuratie van load balancing. Ik ga er vanuit dat de lezer (basis-)kennis heeft van Exchange 2010, Outlook 2007 en de verschillende verkeerstypen zoals MAPI en SMTP.

De situatie

Voor deze onderneming is e-mail een belangrijk medium, zowel de toegang tot de mailbox als het kunnen ontvangen en verzenden van e-mail moet zo goed mogelijk beschikbaar zijn. De meeste andere delen van de ICT omgeving zijn dubbel uitgevoerd, zoals bijvoorbeeld de internetverbindingen, storage, virtualisatie en de oplossing voor mailfiltering welke in de DMZ staat. De 150 gebruikers werken allemaal met Outlook 2007 op een SBC omgeving en kunnen gemiddelde gebruikers genoemd worden. Voor toegang van buitenaf maken gebruikers verbinding met de SBC omgeving, er wordt geen gebruik gemaakt van Outlook Web App, Outlook Anywhere of Exchange ActiveSync.

Servers en rollen

Voor Exchange 2010 hebben we minimaal drie van de vijf beschikbare Exchange rollen nodig: Client Access, Hub Transport en de Mailbox rol. De andere rollen zijn optioneel en voor deze klant niet van toepassing.

Exchange rol Benodigd?
Mailbox Duim omhoog
Client Access Duim omhoog
Hub Transport Duim omhoog
Edge Transport  
Unified Messaging  
De meest eenvoudige opstelling is om deze te combineren op één server. Er is in deze situatie geen voordeel te behalen door ze te verdelen over meerdere servers. In tegendeel, dat zou de oplossing duurder, lastiger te beheren en onnodig complex maken.

Om Exchange 2010 hoog beschikbaar te maken is het uitgangspunt dat je meerdere servers in zet en elke rol minimaal twee keer installeert. In ons geval is een tweede server met de drie Exchange serverrollen voldoende. We hebben nu twee servers die mail kunnen routeren (Hub Transport), client connecties aannemen (Client Access) en mailboxen en Pubic Folders kunnen bevatten (Mailbox).

image

Load balancing

We hebben nu dus twee servers die klaar staan voor Outlook clients, die bovendien SMTP mail kunnen aannemen van de anti-spam toepassing in de DMZ. Maar aan welke van de twee Exchange servers moet de mail nu afgeleverd worden? Met welke server laten we Outlook verbinden? En wat als die server uit is gevallen, of als we daar onderhoud aan willen plegen? Het antwoord op die vragen is Load Balancing.

Door middel van load balancing kunnen we deze ‘load’, namelijk SMTP en Outlook connecties, naar één virtueel IP-adres sturen. De load balancer zorgt vervolgens dat het verkeer doorgestuurd wordt naar één van de echte servers. Welke load balancers?

Voor het load balancen van de Hub Transport en Client Access rol hebben we verschillende mogelijkheden. Bij het vergelijken van de opties moeten we naar een aantal aspecten kijken, onder andere:

  • Capaciteit
  • Persistence of stickyness
  • Health monitoring
  • Prijs

Onder persistence wordt verstaan dat een load balancer het verkeer van bepaalde sessies steeds naar één van de achterliggende servers moet sturen. Stel je voor dat een gebruiker op OWA is ingelogd, nu wil hij een mail bekijken en de load balancer verbindt zijn sessie met een andere Client Access server. Het resultaat is dat de gebruiker opnieuw moet inloggen omdat hij nog niet aangemeld was bij deze Client Access server. Sommige load balancers kunnen dit alleen op basis van het client IP-adres, anderen kunnen dit op meer geavanceerde manieren doen.

Bij health monitoring gaat het er om dat de load balancer de gezondheid van de echte servers in de gaten houdt. Wanneer poort 443 bijvoorbeeld wel reageert maar vervolgens een HTTP 500 error geeft in plaats van het OWA inlogscherm, dan zou hij deze server uit de pool moeten halen.

Optie 1: Windows Network Load Balancing

Een veel gebruikte load balancer is Windows Network Load Balancing (WNLB). WNLB is standaard aanwezig in Windows Server en functioneert als een soort netwerkfilter. De werking is gebaseerd op MAC adressen en het voor de gek houden van switches, het resultaat is dat netwerkpakketjes bij verschillende servers uitkomen en dat WNLB bepaalt welke node de sessie afhandelt. Het voordeel van WNLB is dat het standaard aanwezig is in Windows Server, je hebt er dus al voor betaald.

Maar er zijn ook een paar belangrijke beperkingen. WNLB controleert niet of een server wel gezond functioneert, als de IIS service bijvoorbeeld gestopt zou zijn dan zal WNLB nog steeds OWA clients naar deze node sturen. Verder moeten er aanpassingen worden gedaan aan netwerkapparatuur om ongewenste bijverschijnselen te voorkomen. En ten slotte is het maar beperkt mogelijk om persistence te configureren, WNLB zal in principe alle clientconnecties van een heel Class C subnet met één node verbinden. Om bovenstaande redenen adviseert Microsoft niet langer om WNLB te gebruiken voor Exchange.

En voor ons project is er nog een andere belemmering: WNLB is niet compatible met Windows Failover Clustering (WFC). En laat WFC nou gebruikt worden door de Database Availability Group. WNLB kan dus niet gebruikt worden op een DAG member. Voor deze organisatie betekent dit dat we twee extra servers in moeten zetten om de mailbox rol op aparte servers te zetten indien we voor WNLB hadden gekozen.

Optie 2: Hardware load balancer

Hardware load balancers worden verkocht in de vorm van een fysiek netwerk apparaat, een zogenaamde appliance. Deze apparaten beschikken doorgaans over geavanceerde mogelijkheden om persistence te configureren, bijvoorbeeld op basis van HTTP cookies, en ondersteunen features als SSL offloading. Verder kunnen ze load balancen op verschillende lagen in het OSI model. En er zijn verschillende mogelijkheden om de gezondheid van de echte servers te controleren, bijvoorbeeld door regelmatig een url op te vragen en het antwoord te inspecteren op een bepaalde string. Zo weet de load balancer niet alleen of een server in de lucht is, maar ook of deze naar behoren functioneert.

Keuze

Voor WNLB zijn dus twee extra servers nodig, worden truukjes uitgehaald op het netwerk en het is niet application aware. Voor deze klant was de keuze al snel gemaakt, een hardware load balancer past beter bij de eisen die deze professionele organisatie stelt aan componenten van de ICT infrastructuur. De keuze is gevallen op de Barracuda Load Balancer Model 340, een betaalbare load balancer die bovendien zelf ook hoog beschikbaar kan worden gemaakt door twee exemplaren in een cluster te plaatsen. En dat laatste is precies waar we voor gekozen hebben.

Volgend deel…

In dit artikel zijn we tot een aantal ontwerpkeuzes gekomen, in het volgende deel zal ik verder in gaan om de configuratie van Exchange 2010. Binnenkort meer…

Monday, November 15, 2010

Exchange en het wisselbestand

In de 11 jaar die ik in de ICT zit heb ik misschien wel 111 verschillende aanbevelingen gehoord als het gaat om de configuratie van het Windows wisselbestand, ofwel de pagefile. De één zegt dat hij gelijk moet zijn aan de hoeveelheid intern geheugen, de ander zegt dat hij System Managed moet zijn en de volgende zegt dat we tegenwoordig geen pagefile meer nodig hebben.

Maar hoe zit dat nu voor Exchange 2007 en 2010? Microsoft zegt het volgende:

De grootte van het wisselbestand moet minimaal en maximaal ingesteld worden op de hoeveelheid fysiek RAM plus 10 MB.

Voor een server met 12 GB intern geheugen stellen we het wisselbestand dus in op (12 x 1.024) + 10 = 12.298 MB. En voor een server met 24 GB wordt dat dus (24 x 1.024) + 10 = 24.586 MB. En dat brengt ons gelijk op het volgende, wat nu als je dat bestand niet op het systeemvolume kwijt kunt?

In principe is er niets op tegen om het wisselbestand op een ander volume te plaatsen. Wel is het aan te bevelen om een wisselbestand op het systeemvolume te houden. Deze is namelijk nodig om bij een crash bepaalde gegevens veilig te kunnen stellen, een zogenaamde geheugendump. Deze gegevens kun je achteraf gebruiken om uit te zoeken wat de oorzaak van de crash geweest is. Afhankelijk van het type geheugendump heb je hiervoor enkele megabytes tot een gigabyte aan wisselbestand voor nodig. Voor een volledige dump (Complete memory dump) is dat zelfs de hoeveelheid fysiek geheugen plus 1 MB.

Maar is het niet beter om het wisselbestand op een kleine minimumwaarde te zetten? In dat geval zal het wisselbestand naar behoefte vergroot worden tot aan de maximaal ingestelde waarde. Microsoft adviseert om dat niet te doen omdat het bestand dan gefragmenteerd zal raken, wat de performance niet ten goede komt.

Samengevat geldt voor het wisselbestand op Exchange servers dus het volgende:

  1. Instellen op een vaste grootte
  2. Hoeveelheid fysiek geheugen plus 10 MB
  3. Mag op een ander volume staan

Saturday, November 13, 2010

Documentatie van Lync is nu beschikbaar

Voor wie het nog niet weet, de opvolger van Office Communications Server heet Lync Server 2010. En inmiddels staat de documentatie voor Lync op Technet, goed niews voor iedereen die er snel mee aan de slag wil. Het startpunt op de Technet Library is hier: Microsoft Lync Server 2010.

Voor wie de documentatie graag offline wil kunnen raadplegen is er ook een downloadbaar CHM-bestand: Microsoft Lync Server 2010 Documentation Help File.

Sunday, November 7, 2010

Visio tekeningen maken met Exchange objecten?

Een plaatje zegt meer dan 1000 woorden. Of je nu een offerte maakt, een ontwerp opstelt of je eigen omgeving beschrijven wilt, Visio is een geweldig hulpmiddel om duidelijk te maken wat je nu precies bedoelt. En voor Visio tekeningen met Exchange in beeld is er een speciaal sjabloon met allerlei Exchange gerelateerde shapes.

Download de Exchange 2007 versie hier, de versie voor Exchange 2010 (SP1) vindt je hier.

Het .vss bestand kun je het beste plaatsen in de My Shapes directory die je vind in Documents of My Documents directory. In Visio ga je dan naar Shapes, My Shapes (Visio 2007) of naar Shapes, More Shapes, My Shapes (Visio 2010) om de nieuwe shapes te kunnen gebruiken.

Thursday, November 4, 2010

PFadmin.exe en PFinfo.exe: wat en waar?

PFadmin.exe en PFinfo.exe zijn twee commandline tools die gebruikt werden op Fublic Folders te beheren of informatie te verzamelen over Public Folders. Hoewel deze tools uit een ver verleden stammen, kun je ze soms nog wel nodig hebben. Bijvoorbeeld om een migratie van Exchange 5.5 voor te bereiden.

Dan is het goed om te weten dat ze nog te downloaden zijn van de ftp-site van Microsoft: ftp://ftp.microsoft.com/PSS/Tools/Exchange%20Support%20Tools/

Verder vind je hier de ReadMe van PFinfo.exe: http://support.microsoft.com/kb/261093.

Friday, October 15, 2010

Welke statische poortnummers voor RPC en Address Book services kiezen?

Om Exchange 2010 te load balancen is het aan te bevelen om een vaste TCP/IP poort te kiezen voor deze twee services: RPC Client Access service en Exchange Address Book service. Standaard wordt voor deze services namelijk een willekeurige poort gekozen in een bepaalde reeks, iedere keer als de service start. Maar welke poorten moeten we nu gebruiken voor deze services?

Microsoft adviseert om een poort te kiezen die in dit bereik ligt: 59531 tot 60554. Bovendien moet je de zelfde poort instellen op elke Client Access server binnen één site.

Thursday, October 14, 2010

Outlook 2010: Geen Personal Archive te zien?

Het Personal Archive is één van de meest interessante features van Exchange 2010. Met het Personal Archive kunnen oudere gegevens in een apart deel van de mailbox gezet worden, dit archief staat op de server en is daarmee een goede vervanger van PST-bestanden. Om het Personal Archive te kunnen gebruiken heb je wel een paar dingen nodig, namelijk het volgende:

  • Exchange 2010: De mailbox moet op een Exchange 2010 server staan.
  • Personal Archive enabled: De beheerder moet op de mailbox het Personal Archive inschakelen.
  • Exchange 2010 Enterprise CAL: Personal Archive is één van de features waarvoor een Enterprise Client Access License benodigd is. Voor iedere gebruiker die het Personal Archive gebruikt is een Enterprise CAL nodig, die schaf je aan bovenop de Standard CAL die je voor elke gebruiker of device nodig hebt.
  • Outlook 2010: Om het Personal Archive te kunnen benaderen heb je minimaal Outlook 2010 nodig. Met deze versie kun je het archief benaderen en zelf een retentiebeleid op je mappen of items zetten. Begin 2011 komt er een update voor Outlook 2007 waardoor je het archief ook met deze versie kunt benaderen.

Voor de meeste mensen zullen bovenstaande zaken wel bekend zijn, over dit onderwerp is al veel geschreven. Toch melden sommige mensen dat ze hun Personal Archive niet te zien krijgen in Outlook 2010 terwijl ze hem wel zien in Outlook Web App. Een mogelijke oorzaak kan zijn dat je niet de juiste versie van Outlook 2010 gebruikt. Toegang tot een Exchange 2010 Personal Archive is een feature die alleen in Outlook 2010 zit wanneer deze onderdeel is van Office Professional Plus 2010. Deze suite is alleen aan te schaffen in het kader van een Volume License overeenkomst.

Geen Personal Archive in Outlook 2010? Controleer je Office versie dan.

Friday, September 17, 2010

Kwetsbaarheid reden om te upgraden naar Exchange 2010?

Als je het aan beheerders of ICT managers vraagt, dan weet iedereen wel dat nieuwere software doorgaans veiliger is dan oude software. Maar wat betekent dat nu concreet? Een mooi praktijkvoorbeeld is een probleem wat vorig jaar ontdekt werd in Outlook Web Access van Exchange 2003 en Exchange 2007. Een security specialist ontdekte dat wanneer een OWA gebruiker op een bepaalde link klikt, een externe de OWA sessie van gebruiker over kan nemen. Hoe werkt dat? Simpel gezegd als volg:

  • Maak een webpagina en plaats daar een link op
  • Zet in de link een opdracht die bijvoorbeeld een auto-forward rule in OWA instelt
  • Haal een OWA gebruiker over om op de link te klikken

Omdat OWA niet controleert waar de opdracht vandaan komt zal hij keurig een berichtregel aanmaken die alle inkomende mail naar een mailbox van de hacker doorstuurt. Deze ‘hack’ is zeer eenvoudig uit te voeren en heeft in potentie grote impact.

De fout werd aan Microsoft gemeld in september 2009, dat was nog net op tijd om een oplossing in te bouwen in Exchange 2010 waardoor deze niet meer kwetsbaar is voor deze hack. En deze oplossing is ook terecht gekomen in Exchange 2007 SP3 welke daarna werd uitgebracht. Maar Exchange 2003 en Exchange 2007 SP1 en SP2 zijn dus nog steeds kwetsbaar.

En nu? Mogelijke workarounds zijn beperkt en komen er op neer dat je berichtregels via OWA of het hele OWA Opties-paneel uitschakelt. Hiermee kan een hacker de instellingen niet meer veranderen maat het zelfde geldt voor de gebruiker zelf. De enige echte oplossing, zonder negatieve impact voor de gebruiker, is upgraden naar Exchange 2007 SP3 of Exchange 2010. Voor organisaties met Exchange 2003 kan dit wel eens een sterk argument zijn om vaart te maken met een upgrade naar Exchange 2010.

Wie meer wil lezen over dit issue kan een blik werpen op Microsoft Security Advisory 2401593.

Wednesday, September 15, 2010

Outlook 2007 en toegang tot het Exchange 2010 Personal Archive

Het Personal Archive is één van de killer features van Exchange 2010. Tenminste, dat was de eerste indruk die we allemaal kregen toen Exchange 2010 aangekondigd werd. Maar in de aanloop naar Exchange 2010 bleek al snel dat hier een addertje onder het gras zat, je kunt het Personal Archive alleen benaderen met Outlook 2010 of met Outlook Web App. En dat is jammer, want de realiteit is dat veel bedrijven minimaal één maar vaak zelfs meerdere generaties van Office achterlopen. Daar kunnen allerlei redenen voor zijn, maar een aantal argumenten zie ik steeds terug komen.

  • Kosten

Een Office suite kost geld en als je geen doorlopende contractvorm (bijvoorbeeld Software Assurance) hebt dan mag je de portemonnee trekken om licenties voor de nieuwe versie aan te schaffen. En als het dan om enkele duizenden gebruikers gaat dan praten we al snel over een forse investering. Het getuigt misschien niet van goed plannen en vooruit denken, maar vaak zie ik dat men deze investering nog liever een jaartje vooruit wil schuiven.

  • Afhankelijkheden

Net als een ongeluk, komt Office zelden alleen. Om echt het onderste uit de kan te halen worden templates gemaakt die bijvoorbeeld standaardbrieven genereren of een bepaalde huisstijl afdwingen. En dan hebben we nog allerlei plug-ins, bijvoorbeeld voor de koppeling met een ERP systeem of toegang tot een archiveringsoplossing. Al deze templates, macro’s en 3rd party add-ons moeten stuk voor stuk getest worden op compatibiliteit met de nieuwe versie van Office. Niet zelfden steekt de leverancier van deze plug-in een stokje voor de upgrade door de nieuwe versie niet te kunnen of willen ondersteunen.

  • Verandering

De wereld verandert en de Office suite ook. De ontwikkelaars staan niet stil en elke versie brengt nieuw slimme functionaliteit of juist een aangepaste interface om een beetje overzicht terug te brengen in al die mogelijkheden. Bij bedrijven zie ik vaak een sterke weerstand tegen verandering, vooral als het om de interface gaat dan vreest men voor massaal vastlopende gebruikers. Deels is die vrees wel terecht, niet iedereen omarmt de nieuwe versie en gaat enthousiast op zoek naar vernieuwingen. Maar juist daar kan een stukje training veel goeds doen, bereid mensen voor op de nieuwe versie en zorg dat ze ook op de bewuste maandag in ieder geval hun dagelijkse werkzaamheden uit kunnen voeren. Mijn persoonlijke ervaring is dat het gros van de gebruikers, ook degenen die eerst hun hakken in het zand hadden gezet, al na een paar dagen niet meer beter weten en zelfs niet meer terug willen naar de oude versie.

En met Exchange?

Ook in de wereld van Exchange komt met iedere generatie nieuwe functionaliteit mee, en voor een deel van die nieuwe functionaliteit heb je een recente versie van Outlook nodig. En zo komen we weer terug op het Personal Archive, waar we alleen gebruik van kunnen maken met Outlook 2010 of OWA. Microsoft ontdekte zelf al vrij snel dat bedrijven relatief makkelijk overstappen naar Exchange 2010 maar dat het veel lastiger is om ook op Office 2010 te komen. Een groot aantal klanten plant een upgrade naar Office 2007 maar zien geen kans om direct naar Office 2010 te gaan, of werkt voorlopig nog gewoon verder met Office XP (2002), 2000 of zelfs 97.

Goed nieuws dus dat Microsoft in April 2010 (Exchange 2010 was toen al 5 maanden uit) aankondigde dat met de komst van SP1 voor Exchange 2010 ook een update voor Outlook 2007 verwacht werd waarmee je het Personal Archive kunt benaderen. Dikke pech voor klanten met Outlook 2003 maar in ieder geval een mooi vooruitzicht voor klanten die al wel op Office 2007 zaten. Ook voor een aantal van mijn klanten woog deze aankondiging mee om toch alvast te starten met de upgrade naar Exchange 2010, want een traject voor Office 2007 was ook al in gang gezet.

Inmiddels is het eerste service pack voor Exchange 2010 uitgebracht maar blijft het stil rond Outlook 2007 en het Personal Archive. Microsoft heeft inmiddels aangekondigd dat de Personal Archive update voor Outlook 2007 ‘in de eerste helft van 2011’ uit gaat komen. Let wel, dat is dus anderhalf jaar nadat Exchange 2010 gelanceerd werd! Al met al lijkt de geschiedenis zich te herhalen, ik moet denken aan de Exchange 2007 backup plugin voor Server 2008 maar ook aan de aangekondigde Exchange 2007 support voor Server 2008 R2, waarbij klanten alleen nog even hoefden te wachten op het volgende service pack…

Graag zou ik de beslissers bij Microsoft willen uitnodigen om eens een jaartje in het veld te komen werken. Kom maar eens praten over het Nieuwe Werken en verhoogde productiviteit bij de gemeente, het productiebedrijf of de zorginstelling waar ik mag komen praten over Exchange. En hopelijk worden dan wat meer mensen ingezet op het bedienen van bestaande klanten, bedrijven die een paar jaar geleden hebben geïnvesteerd in nieuwe techniek. In plaats van wat nu steeds lijkt te gebeuren: 99% van Microsoft werkt aan vNext terwijl slechts 1% zich bezig houdt met vVorig of vOud.

Dus, bedrijven met Outlook 2007 en Exchange 2010: nog even geduld tot volgend jaar. Of toch maar upgraden naar Office 2010 misschien…?

Thursday, September 9, 2010

Android ‘Froyo’ heeft problemen met Exchange 2010 SP1

Verschillende Exchange-beheerders melden de afgelopen dagen problemen met het synchroniseren van bepaalde mobiele toestellen. Het gaat dan specifiek om Android telefoons welke draaien op versie 2.2 en wel buildnummer FRG22D. Bij deze toestellen lukt het niet meer om te synchroniseren met de mailbox wanneer Exchange 2010 SP1 gebruikt wordt.

Inmiddels is het probleem bekend bij Microsoft en bij de telefoonleveranciers maar een oplossing is nog niet voor handen. Wanneer je denk dat dit issue ook jouw gebruikers kan treffen dan heb je de volgende mogelijkheden:

  • Stel de upgrade van Exchange 2010 naar Exchange 2010 SP1 nog even uit.
  • Let op voor de Android update met buildnummer FRG22D, het gaat om deze download maar providers kunnen hem ook over-the-air naar je device sturen.

Wanneer je al wel getroffen bent door dit probleem, dan kun je als laatste work-around nog eens kijken naar TouchDown van NitroDesk. Van deze Exchange client kun je een probeerversie downloaden die 30 dagen te gebruiken is.

Wanneer er meer nieuws is dan lees je het hier.

Friday, August 27, 2010

Wat is een *over?

De term *over kom je ander andere tegen in de Exchange 2010 documentatie op TechNet en in andere artikelen van het Exchange-team, bijvoorbeeld op het officiële Exchange team blog. Wat hier mee bedoelt wordt is een failover of een switchover. Een failover is de gebeurtenis waarbij een Exchange-database automatisch actief wordt op een andere server als gevolg van een storing. Bij een switchover gebeurt het zelfde maar dan omdat een beheerder hiertoe opdracht gegeven heeft.

Zo, nu weet je wat een *over betekent: failover of switchover.

Wednesday, August 25, 2010

Exchange 2010 SP1 is uit!

Zojuist heeft Microsoft de definitieve versie van het eerste service pack voor Exchange 2010 uitgebracht. Downloaden doe je hier, informatie over ‘wat is nieuw?’ kun je hier lezen. Lees in de Releese Notes een aantal belangrijke zaken die je moet weten voor je SP1 installeert.

Wanneer je de Setup start wordt eerst gecontroleerd of de server aan alle eisen voldoet. De kans is groot dat je meerdere hotfixes moet downloaden om door te kunnen gaan. Op deze pagina vind je een overzicht van alle hotfixes die nodig kunnen zijn.

Monday, August 23, 2010

Outlook 2010 gebruiken naast een oudere versie van Office?

In verband met Exchange 2010 zie ik steeds meer bedrijven die snel naar Outlook 2010 toe willen, maar nog niet klaar zijn om hun hele Office suite te vervangen. Dat is ook wel begrijpelijk, er gaat soms veel tijd zitten in het testen van macro’s en templates en al helemaal als je afhankelijk bent van leveranciers. Toch wil men het liefst Outlook 2010 uitrollen omdat je hiermee de meeste nieuwe functionaliteit van Exchange 2010 kunt benutten.

Een interessante optie is om eens te kijken naar het uitrollen van Outlook 2010 terwijl je de oudere versies van Word, Excel en dergelijke op de computer geïnstalleerd staat. Kan dat dan? Ja, maar… Om te beginnen is Outlook 2010 voor een aantal taken afhankelijk van Word 2010. In het artikel Using Outlook 2010 with or without Word 2010 installed kunnen we lezen wat er voor de gebruiker verandert als Word 2010 niet op het systeem is geïnstalleerd:

Feature Without Word 2010 installed With Word 2010 installed
Message thread shading in open messages and the Reading Pane Yes Yes
Panning through messages on Tablet PCs Yes Yes
Search results highlighting for Instant Search Yes Yes
New and improved fonts Yes Yes
Smart tag recognition Yes Yes
New Save as options Yes Yes
Quick Styles gallery Yes Yes
Themes No Yes
Automatic formatting of bulleted and numbered lists No Yes
Automatic formatting of tables No Yes
Proofing tools like the dictionary and thesaurus. No Yes
SmartArt graphics drawing, charting, and diagramming tools No Yes
Captions No Yes
Equation Builder No Yes
WordArt No Yes

Voor de meeste gebruikers zullen deze beperkingen wel overkomelijk zijn, functioneel is Outlook 2010 zonder Word 2010 dus niet zo’n probleem. Maar dan is er nog de technische kant, ook hier zitten een aantal haken en ogen aan. Zo kan er bijvoorbeeld maar één versie van Outlook op de pc geïnstalleerd worden, zodra je Outlook 2010 installeert dan zal die eerst de oudere versie van Outlook verwijderen. Verder is het belangrijk om te weten dat alleen de 32-bits versie van Office 2010 compatible is met een oudere versie van Office. Meer informatie in over de technische kant lees je in het volgende knowledge base-artikel: Information about how to use Office 2010 suites and programs on a computer that is running another version of Office.

Hoewel het technisch mogelijk is om Outlook 2010 naast een oudere versie van Office te draaien en dit ook door Microsoft ondersteund wordt, raad Microsoft het niet aan. Mocht je deze oplossing toch overwegen, onderzoek dan eerst of er alternatieven zijn.

Wednesday, July 14, 2010

ADMT versie 3.2

De nieuwste versie van de Active Directory Migration Tool (ADMT) is versie 3.2. Deze versie ondersteunt Windows Server 2008 R2 en de nieuwe ‘managed service accounts’. Je vindt de download hier en de bijbehorende ADMT Migration Guide hier.

Wednesday, June 30, 2010

Im- en exporteren naar PST met Exchange 2010 SP1

Eén van de populairste tools voor beheerders van Exchange was toch altijd wel Exmerge. Exmerge was tot en met Exchange 2003 de aangewezen tool om mailboxdata te exporteren naar een PST-file, importeren naar een mailbox of om zelfs data te verwijderen uit mailboxen. Bij Exchange 2007 kwamen hiervoor de cmdlets Import-Mailbox en Export-Mailbox in de plaats. Veel beheerders moesten wennen aan het feit dat er geen grafische schil meer was en dat je bovendien nogal wat componenten op je werkplek moest installeren om de boel aan het werken te krijgen. Toen Exchange 2010 net uit kwam werd het verhaal nog ietsje slechter, nu had je ook nog een 64-bits versie van Outlook 2010 nodig. Probleem was dat die nog helemaal niet beschikbaar was op dat moment.

Hoe werkt het in Exchange 2010 SP1?

Exchange 2010 SP1 vereist niet langer een aparte tool (Exmerge) of versie van Outlook voor deze taken, de code die hiervoor noodzakelijk is zit nu in Exchange ingebakken. De nieuwe cmdlets New-MailboxExportRequest en New-MailboxImportRequest verklappen als dat er onder de motorkap het één en ander veranderd is. Met deze cmdlets zet je een verzoek om een export of import uit te voeren klaar, waarna de Mailbox Replication Service het verzoek oppakt en uitvoert. Qua werking en beheer is dus gelijk aan het werken met move requests.

Hoe pakken we dat aan?

RBAC, om te beginnen. Standaard is de rol Mailbox Import Export niet aan een rolgroep toegewezen, dat moeten we dus eerst regelen. In dit voorbeeld wijs ik de rol direct toe aan een gebruiker:

New-ManagementRoleAssignment -Role "Mailbox Import Export" -User AdminExchange

Als we nu een nieuwe Exchange Management Shell openen dan valt opdat we een aantal extra cmdlets tot onze beschikking hebben, kijk maar eens:

Get-ExCommand *mailboxexport*,*mailboximport*

De nieuwe cmdlets zijn:

Get-MailboxExportRequest
Get-MailboxExportRequestStatistics
Get-MailboxImportRequest
Get-MailboxImportRequestStatistics
New-MailboxExportRequest
New-MailboxImportRequest
Remove-MailboxExportRequest
Remove-MailboxImportRequest
Resume-MailboxExportRequest
Resume-MailboxImportRequest
Set-MailboxExportRequest
Set-MailboxImportRequest
Suspend-MailboxExportRequest
Suspend-MailboxImportRequest

Als we eens kijken naar het maken van een move request, dan moeten we minimaal opgeven welke mailbox we willen exporteren en waar we het bestand willen plaatsen. Bijvoorbeeld:

New-MailboxExportRequest -Mailbox Jan@domain.nl -FilePath \\Server\share\jan.pst

De -Mailbox parameter accepteert een alias, display name of een SMTP adres.  De parameter -FilePath verwacht een pad in UNC formaat. Let goed op met die laatste, zorg dat de security group Exchange Trusted Subsystem lees- en schrijfrechten heeft op de share.

Nog een voorbeeld:

New-MailboxExportRequest -Mailbox Henk@domain.nl -FilePath \\Server\share\henk.pst -Archive

Met bovenstaande regel exporteren we het Personal Archive van deze gebruiker naar een PST bestand. Andersom kan natuurlijk ook:

New-MailboxImportRequest -Mailbox Joke -FilePath \\Server\share\joke.pst -Archive

Met deze regel wordt het PST bestand rechtstreeks in het Personal Archive van gebruikster Joke geplaatst.

Ten slotte

In de publieke Beta van Exchange 2010 SP1 kan hier of daar nog wel een bugje zitten, maar in dit artikel kun je in ieder geval lezen wat je mag verwachten van het importeren en exporteren van mailboxen in Exchange 2010 SP1. Wanneer dit service pack beschikbaar is heeft Microsoft nog niet bekend gemaakt.

Tuesday, June 29, 2010

Exchange 2007 SP3 installeren op SBS 2008 of EBS 2008 servers

Onlangs schreef ik over het derde Service Pack voor Exchange 2007. Beheerders van Small Business Server 2008 (SBS) of Essential Business Server 2008 (EBS) zullen ze zich afvragen of zij deze ook op hun servers mogen installeren. Dat mag, maar let wel op de procedure die beschreven staat in de volgende knowledge base artikelen:

How to install Exchange Server 2007 SP3 on a computer that is running Windows SBS 2008

How to install Exchange Server 2007 Service Pack 2 and Service Pack 3 on servers that are running Windows Essential Business Server 2008

Thursday, June 24, 2010

Exchange 2007, toch nog een Service Pack?

Onlangs bracht Microsoft het derde Service Pack voor Exchange 2007 uit. Dat is een mooi moment om eens even stil te staan bij het verschijnsel Service Pack, en wat voor rol die spelen bij Exchange.

Service Packs voor Exchange

Iedere beheerder van Microsoft producten, maar ook bijna iedere thuisgebruiker is wel bekend met het fenomeen Service Pack. Een Service Pack (SP) is een verzameling updates welke in één keer aan een product toe worden gevoegd, het gaat dan niet alleen om het oplossen van problemen maar ook om het toevoegen van functionaliteit.

In de wereld van Exchange zien we Service Packs die een editie weer up-to-date maken met de laatste ontwikkelingen, dit geldt vaak voor het laatste Service Pack wat voor een editie wordt uitgebracht. Maar een Service Pack kan ook gewoon de functionaliteit bevatten waar geen tijd meer was om het nog in de RTM versie te kunnen stoppen.

Welke SP’s zijn er tot nu toe uitgebracht?

Editie Service Packs
Exchange 4.0 SP1, SP2, SP3, SP4 en SP5
Exchange 5.0 SP1 en SP2
Exchange 5.5 SP1, SP2, SP3 en SP4
Exchange 2000 SP1, SP2 en SP3
Exchange 2003 SP1 en SP2
Exchange 2007 SP1, SP2 en SP3

De eerste 5 SP’s zijn nog binnen twee jaar uitgebracht, maar tegenwoordig kan er wel bijna een jaar tussen het uitbrengen van een SP zitten. Gelukkig maar, want dat maakt het voor ons ICT-ers ook wat makkelijker om te plannen.

Wat niet veel mensen weten trouwens, is dat Service Packs sinds Exchange 2007 eigenlijk gewoon een volledige versie van het product zijn. De download van zo’n SP kun je dus niet alleen gebruiken om een bestaande installatie te upgraden, maar ook om een nieuwe server te installeren. Denk daar nog eens aan als je Exchange wilt installeren en alleen een licentiecode hebt maar geen dvd. :-)

Exchange 2007 Service Pack 3

Laten we eens kijken naar het 3e Service Pack voor Exchange 2007, wat onlangs uitgekomen is. Met al die aandacht voor Exchange 2010 zou je haast wel eens vergeten dat duizenden bedrijven, soms zeer grote, Exchange 2007 omgevingen hebben draaien. Sterker nog, er worden dagelijks niet Exchange 2007 omgevingen gebouwd of uitgebreid.

Server 2008 R2 en Windows 7

Met name voor die laatste categorie is dit Service Pack interessant en komen we gelijk bij de belangrijkste vernieuwing. SP3 voegt namelijk ondersteuning toe voor Windows Server 2008 R2 en Windows 7. Bij die eerste gaat het dan natuurlijk om het besturingssysteem waarop je Exchange 2007 SP3 kunt installeren, bij die laatste gaat het om het kunnen installeren van de Exchange 2007 Management Tools op je beheerwerkplek.

Let wel even op, je kunt Exchange 2007 SP3 niet installeren op een server die ge-upgrade is van Server 2008 naar Server 2008 R2, ook kun je een Exchange server op Server 2008 niet upgraden naar Server 2008 R2. De zelfde restricties gelden voor Windows 7, alleen installeren op een computer die schoon geïnstalleerd is.

En verder?

OWA gebruikers konden al hun wachtwoord wijzigen, maar pas nadat ze ingelogd zijn. Dat inloggen lukt niet als je wachtwoord verlopen is en daar brengt SP3 wat nieuws voor. Als een gebruiker in probeert te loggen met een verlopen wachtwoord, zal de CAS rol dat bemerken en de gebruiker doorsturen naar een aparte site waar hij eerst zijn wachtwoord kan veranderen.

Verder worden de zoek- en indexingfunctionaliteit vervangen door een nieuwe versie en wordt het Active Directory Schema aangepast voor 8 UM attributen. O ja, als je een Transport Rule gebruikt om een disclaimer toe te voegen dan kun je dat nu ook in een taal doen die van rechts naar links gelezen wordt.

Installatie

Voor wie eerder Exchange 2007 of een SP geïnstalleerd heeft, zal de procedure van SP3 geen verassing zijn. Zowel voor een schone installatie als een upgrade is de procedure ongewijzigd. Lees in ieder geval eerst de release notes voordat je aan de installatie begint, hier staat veel waardevolle informatie in.

Meer informatie

De Exchange 2007 Release Notes kun je hier downloaden. Het TechNet artikel waar je bovenstaande informatie nog eens kunt nalezen staat hier. O ja, en de download natuurlijk, die vind je hier.

Monday, June 21, 2010

Outlook 2003 ‘traag’ met Exchange 2010

Al eerder schreef ik over Outlook 2003 met Exchange 2010, toen ben ik in gegaan op encryptie en de juiste instellingen om Exchange en Outlook met elkaar te laten praten. In de praktijk is er nog een ander in het oog springend issue, iets wat lastiger op te lossen is helaas.

Wanneer je Outlook 2003 in Online Mode draait, vertrouwt Outlook op UDP notificaties om het scherm te verversen. Wanneer je bijvoorbeeld een bericht verwijdert zal Exchange, na een succesvolle verwijderding,  aan Outlook terugkoppelen dat het bericht niet meer in de huidige map getoond moet worden maar bijvoorbeeld in de map Deleted items. Het zelfde zie je als je Outlook op twee computers aan hebt staan en op de ene computer een mailtje verwijdert, ook Outlook op de andere computer wordt op de hoogte gebracht van de verwijdering en zal het scherm aanpassen.

Het probleem met Outlook 2003 in Online Mode is dat Exchange 2010 geen UDP notificaties meer geeft. Hierdoor valt Outlook 2003 terug op ‘plan B’, namelijk dat hij periodiek aan Exchange vraagt of er nog updates zijn voor de schermweergave. De standaard polling interval is 60 seconden.

Wat betekent dit voor de gebruikers? Als een gebruiker een mail verwijdert dan blijft het bericht gewoon in beeld staan, als gebruiker hem nogmaals probeert te verwijderen geeft Outlook een ‘An unknown error has occurred’ of ‘Er is een onbekende fout opgetreden’. Na afsluiten en weer opstarten van Outlook is het bericht wel verwijderd, hoewel gebruiker ook gewoon maximaal 60 seconden kan wachten tot Outlook het scherm ververst.

Er zijn 3 min of meer bruikbare oplossingen voor dit verschijnsel:

  • Schakel over op Cached mode. Houd rekening met het OST-bestand wat Outlook aan zal maken, niet geschikt voor Outlook op Terminal Servers.
  • Upgrade naar Outlook 2007 of hoger.
  • Verklein de polling interval naar 10 seconden, wat het minimum is wat door Outlook 2003 ondersteund wordt.

Dat laatste kun je doen door op de servers met de Client Access rol de volgende registry key aan te maken:

Subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeRPC\ParametersSystem
Type: DWORD
Naam: Maximum Polling Frequency
Waarde: 10000 (decimaal)

Zorg wel dat minimaal Update Rollup 1 voor Exchange 2010 geïnstalleerd moet zijn. Deze wijziging geldt voor alle connecties die nu met de server gemaakt worden, bestaande connecties gebruiken nog de oude waarde.

Een echte oplossing is dit niet, maar het zorgt er wel voor dat de overlast iets beperkt wordt.

Friday, June 4, 2010

Exchange 2010 OWA: Gebruiker mag eigen contactgegevens niet aanpassen

Wanneer een Exchange 2010 gebruiker in Outlook Web App naar Opties gaat, komt hij ongemerkt in het Exchange Control Panel. Nou ja, niet helemaal ongemerkt want als je naar de url in de adresbalk kijkt dan zie je de ‘ecp’ vDir staan:

image

De gebruiker kan daar een grote hoeveelheid instellingen aanpassen, waaronder een aantal waar voorheen een helpdesk of beheerder gebeld moest worden. Zo ook bijvoorbeeld het aanpassen van zijn telefoonnummer of adresgegevens. Nu is dit niet voor ieder organisatie even aantrekkelijk, het is heel g0ed mogelijk dat men dit graag centraal wil regelen en dat de gebruiker deze gegevens niet aan mag passen. Hoe doen we dat?

Alle beheerfunctionaliteit is in Exchange 2010 toegewezen op basis van Role Based Access Control (RBAC), ook de mogelijkheid voor een gebruiker om zijn eigen contactgegevens aan te passen. Om dit aan te passen voor alle gebruikers kunnen we een rol verwijderen uit de standaard policy voor gebruikers.

De makkelijkste manier is om ook als beheerder het ECP te gebruiken. Log in op OWA en klik op Opties, bent nu in het ECP. Bij ‘Kies wat er moet worden beheerd:’ kies je Mijn organisatie:

clip_image001

Klik op Gebruikersrollen. Bij een standaardinstallatie vinden we hier maar één policy, de Default Role Assignment Policy:

clip_image001

Dubbelklik er op om de policy te kunnen bewerken:

image

In dit scherm zien we dat we deze 4 rollen makkelijk toe kunnen wijzen door een vinkje te zetten of te verwijderen, er zijn nog meer rollen maar om die te wijzigen gebruik je de Exchange Management Shell (EMS).

In ons voorbeeld halen we het vinkje weg voor Mijn contactgegevens, en klikken we op Opslaan. That’s it.

Tuesday, May 11, 2010

Het vertrouwen van een niet-vertrouwde website

Onlangs kreeg ik de volgende vraag in mijn mailbox:

Ik heb een probleem met een certificaatfout bij outlook web exchange. Onze server is https://61.236.1.137/exchange zodra je deze site bezoekt krijg ik de foutmelding. Nieuwe gebruikers met thuis Windows Vista kunnen nu helemaal niks meer door deze foutmelding.

Bij navraag bleek het te gaan om een server met Small Business Server 2003 die blijkbaar netjes geconfigureerd is met de Configure E-mail and Internet Configuration Wizard (CEICW). Laten we eens kijken wat er precies gebeurt als we naar die url toe gaan met onze browser:

image

Daar lezen we dat het certificaat van deze website niet is uitgegeven door een vertrouwde Certificate Authority. Dit betekent dat we niet met zekerheid vast kunnen stellen of deze website wel de site is dit we denken dat het is, misschien staat de site wel op een server die probeert ons wachtwoord te stelen. Naast de controle op de uitgever van het certificaat zal de browser ook de geldigheidsdatum van het certificaat controleren en ten slotte kijkt hij of de hostnaam in de adresbalk overeenkomt met de naam die op het certificaat staat. Als één of meer van die controles mislukken, dan wordt de gebruiker lastig gevallen met deze waarschuwing.

Bij dit voorbeeld is de waarschuwing relatief onschuldig en te verwachten bovendien. In de volgende stappen gaan we dit probleem oplossen, waarna de gebruiker niet meer wordt lastig gevallen door deze waarschuwing.

Om te beginnen openen Windows Vista of 7 gebruikers een ‘elevated’ Internet Explorer. Zoek in het Start Menu de snelkoppeling voor Internet Explorer, bijvoorbeeld voor het woord ‘internet’ in het zoekvakje te typen. Klik op de snelkoppeling met de rechtermuisknop en kies voor Run as Administrator.

image

In het browservenster wat nu geopend wordt typen we het adres van de website in de adresbalk. Wanneer bovenstaande waarschuwing verschijnt klikken we op Continue to this website (not recommended). De adresbalk kleurt rood en de website verschijnt in beeld:

image

Om meer te weten over het probleem met het certificaat klikken we op Certificate Error. Nu volgt nog eens een duidelijke uitleg van het probleem, de uitgever van het certificaat wordt door onze computer niet vertrouwd:

image

Omdat we dat certificaat wel eens willen zien klikken we op View certificates, het certificaat wordt nu getoond:

image

Ook hier worden we nog een keer geattendeerd op het feit dat de uitgever van dit certificaat niet vertrouwd wordt. Ook wordt uitgelegd dat we, om deze uitgever in het vervolg wel te vertrouwen, het certificaat kunnen installeren in de Trusted Root Certification Authorities store. Die ‘store’ kun je vergelijken met een opbergkast in je computer, in die kast zitten een aantal vakjes en worden de diverse certificaten opgeslagen. Eén van die vakjes is bestemd voor uitgevers van certificaten die wij vertrouwen, in dat vakje willen wij dit certificaat dus plaatsen.

Dat doen we door op de knop Install Certificate… te klikken. Er start nu een wizard waarbij we op de eerste pagina op Next klikken. Op de volgende pagina mogen we kiezen waar we dit certificaat willen installeren, klik op Browse en kies de Trusted Root Certificate Authorities store:

image

Bevestig de keuze met een klik op OK en vervolg de wizard door op Next en vervolgens op Finish te klikken. De volgende waarschuwing verschijnt nu:

image

Dit is misschien wel de belangrijkste vraag in het hele proces. Om zeker te weten dat je een certificaat installeert van de juiste website zou je nu eigenlijk de beheerder van de site moeten bellen om te vragen of deze vingerafdruk (Thumbprint) overeenkomt met die op het certificaat wat hij aan de echte website gekoppeld heeft. Maar in de praktijk zal dat zelden gebeuren. Dus klikken we op Yes, bevestigen de keuzes nog twee keer met een klik op OK en sluiten alle openstaande browservensters. Die laatste stap is belangrijk om zeker te weten dat de wijziging opgepikt wordt door Internet Explorer, voordat we dit gaan testen.

We openen vervolgens een nieuwe browser en gaan weer naar de bewuste url. We krijgen nu geen waarschuwing meer en de adresbalk kleurt niet meer rood:

image

Let op het gesloten slotje wat rechts van het adres staat, deze geeft aan de alle controles geslaagd zijn en dat er een versleutelde verbinding is opgebouwd. Het is nu veilig om in te loggen met je gebruikersnaam en wachtwoord, deze zullen niet eenvoudig afgeluisterd kunnen worden.

Tip voor beheerders

Wanneer jij een server beheert waarbij je een self-signed certificaat gebruikt, dat wil zeggen een certificaat wat standaard niet door internetbrowsers vertrouwd wordt, maak dan een verkorte handleiding voor je gebruikers. Laat de uitleg weg en geef alleen de te nemen stappen, eventueel met screenshots van een Nederlandstalige versie van Windows.

Maar overweeg ook eens om een certificaat aan te schaffen bij een uitgever van certificaten die vertrouwd wordt door de client computers. De kosten voor een certificaat wat 3 jaar geldig is zullen niet veel hoger uitvallen dan zo’n 300 euro. (prijsindicatie Digicert) Reken maar eens uit wat het kost als je 150 gebruikers elk een kwartiertje bezig zijn met bovenstaande handleiding, en dat opnieuw zullen doen voor een andere werkplek of mobile device. Een officieel certificaat duur? Dat valt dus best wel mee.

Monday, May 3, 2010

Mei 2010: Nieuwe KB artikelen voor Exchange en Outlook

Hieronder vind je het overzicht van de nieuwe en bijgewerkte Microsoft knowledge-base artikelen over Exchange en Outlook.

Exchange

Exchange Svr 2000 EN: MS10-024: Description of the security update for Exchange 2000 Server: April 13, 2010

http://support.microsoft.com/kb/976703/EN-US

Exchange Svr 2003 SP2 EN: MS10-024: Description of the security update for Exchange Server 2003 Service Pack 2: April 13, 2010

http://support.microsoft.com/kb/976702/EN-US

Exchange Svr 2007 SP1 AL: Description of Update Rollup 10 for Microsoft Exchange Server 2007 Service Pack 1

http://support.microsoft.com/kb/981407/EN-US

Exchange Svr 2007 SP2 AL: A user can only set the time zone to Bucharest in OWA after you update Exchange Server 2007 Service Pack1 to Exchange Server 2007 Service Pack 2

http://support.microsoft.com/kb/980639/EN-US

Exchange Svr 2007 SP2 AL: Description of Update Rollup 4 for Microsoft Exchange Server 2007 Service Pack 2

http://support.microsoft.com/kb/981383/EN-US

Exchange Svr Ent 2003 EN: Microsoft support policy for the customization of Outlook Web Access for Exchange (Updated)

http://support.microsoft.com/kb/327178/EN-US

Exchange Svr Ent 2007 AL: You cannot mount a public folder store on a newly installed Exchange 2007 server, and it fails with a MapiExceptionNoAccess error

http://support.microsoft.com/kb/979693/EN-US

Exchange Svr Ent 2007 AL: Exchange Management Console (EMC) crashes, and you receive an error: "MMC could not create the snap-in"

http://support.microsoft.com/kb/979695/EN-US

Exchange Svr Ent 2007 AL: Installation of Exchange Server 2007 fails on a multiprocessor server

http://support.microsoft.com/kb/981539/EN-US

Exchange Svr Ent 2007 AL: "Outlook Web Access has disabled this link for your security" error message when you click a link in an e-mail message in Outlook Web Access 2007

http://support.microsoft.com/kb/982463/EN-US

Exchange Svr Enterprise 2010 AL: Description of Update Rollup 3 for Microsoft Exchange Server 2010 Release to Manufacturing

http://support.microsoft.com/kb/981401/EN-US

Exchange Svr Enterprise 2010 AL: RPC clients or MAPI on the Middle Tier clients may not receive responses from the mailbox server role on an Exchange 2010 server

http://support.microsoft.com/kb/981664/EN-US

Exchange Svr Std 2003 EN: You receive a "This item exceeds the maximum size defined for this folder" error message when you use OWA to post an item that has an attachment to a public folder in Exchange Server 2003 and in Exchange 2000 Server (Updated)

http://support.microsoft.com/kb/304307/EN-US

Exchange Svr Std 2007 AL: Custom Address Lists are not shown in the GAL in Microsoft Office Outlook

http://support.microsoft.com/kb/982351/EN-US

Outlook

Outlook 2002 Win32 EN: You receive a ".pst is not compatible" error message when you open an Outlook 2003 or Outlook 2007 .pst file in  earlier versions of Outlook (Updated)

http://support.microsoft.com/kb/839109/EN-US

Outlook 2003 Win32 AL: Attachments remain in the Outlook Secure Temporary File folder when you exit Outlook 2003 or Outlook 2007 (Updated)

http://support.microsoft.com/kb/817878/EN-US

Outlook 2003 Win32 AL: You may receive an "Outlook blocked access to the following potentially unsafe attachments" message in Outlook (Updated)

http://support.microsoft.com/kb/829982/EN-US

Outlook 2003 Win32 AL: Description of the Outlook 2003 hotfix package (Outlook.msp): February 25, 2010 (Updated)

http://support.microsoft.com/kb/980998/EN-US

Outlook 2003 Win32 AL: Description of the Office Outlook 2003 Junk E-mail Filter update: April 13, 2010

http://support.microsoft.com/kb/981432/EN-US

Outlook 2007 Win32 ML: Error message when you start Outlook: "Unable to open the Outlook window," "No profile has been created," or "The list of Profiles cannot be loaded" (Updated)

http://support.microsoft.com/kb/252304/EN-US

Outlook 2007 Win32 ML: How to find and run the Inbox Repair tool in Outlook (Updated)

http://support.microsoft.com/kb/272227/EN-US

Outlook 2007 Win32 ML: How to reset the nickname and the automatic completion caches in Outlook (Updated)

http://support.microsoft.com/kb/287623/EN-US

Outlook 2007 Win32 ML: How to move your personal folders (.pst) file in Outlook (Updated)

http://support.microsoft.com/kb/291636/EN-US

Outlook 2007 Win32 ML: You receive an error message when you click a hyperlink in Outlook (Updated)

http://support.microsoft.com/kb/310049/EN-US

Outlook 2007 Win32 ML: How to create and configure an e-mail profile in Outlook 2010, Outlook 2007, and Outlook 2003 (Updated)

http://support.microsoft.com/kb/829918/EN-US

Outlook 2007 Win32 ML: You cannot open a shared Outlook folder from a sharing invitation that you receive from another Outlook user (Updated)

http://support.microsoft.com/kb/912265/EN-US

Outlook 2007 Win32 ML: There are no Group Policy settings for CDO in Outlook 2007 (Updated)

http://support.microsoft.com/kb/926195/EN-US

Outlook 2007 Win32 ML: A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service (Updated)

http://support.microsoft.com/kb/940881/EN-US

Outlook 2007 Win32 ML: When you send an e-mail message from a shared mailbox in Outlook 2007, the sent message is not saved in the Sent Items folder of the shared mailbox (Updated)

http://support.microsoft.com/kb/972148/EN-US

Outlook 2007 Win32 ML: When you reply to or forward a signed or an encrypted e-mail message, the message is sent without encryption in Outlook 2007 and Outlook 2010 (Updated)

http://support.microsoft.com/kb/974334/EN-US

Outlook 2007 Win32 ML: Description of the Office Outlook 2007 hotfix package (Outlook-x-none.msp): February 23, 2010 (Updated)

http://support.microsoft.com/kb/978401/EN-US

Outlook 2007 Win32 ML: Description of the Office Outlook 2007 Junk E-mail Filter update: April 13, 2010

http://support.microsoft.com/kb/981433/EN-US

Sunday, May 2, 2010

Verwacht je hier actueel nieuws?

Veruit de meeste lezers van mijn blog zijn toevallige passanten, zij zoeken informatie over een foutmelding of onderwerp en een zoekmachine brengt ze op deze pagina. Misschien ben jij wel zo’n toevallige passant. Af en toe spreek ik wel eens iemand die mijn pagina bij zijn Favorieten heeft staan, of RSS gebruikt om een melding van een nieuw bericht te krijgen.

Met de artikelen die ik schrijf richt ik me onbewust op de eerste groep. Wanneer er een nieuwe rollup pack uit is, of een bepaalde tool ge-update is dan meldt ik dat niet hier, maar gebruik ik bijvoorbeeld Twitter. Nu vraag ik me af of er regelmatige lezers zijn die via mijn site op de hoogte willen blijven van het actuele nieuws over Exchange en randzaken.

Als je dit interessant vindt, of juist niet, wil je dat aangeven in onderstaande poll?

online survey

Het antwoord ‘Nee’ is ook prima. Het belangrijkste voor mij is dat bezoekers iets vinden waar ze wat aan hebben, als ik iemand eenmalig helpen kan dan is dat voor mij al prima. Bedankt voor het invullen.

O ja, op Twitter heet ik JetzeMellema.

Sunday, April 25, 2010

Outlook 2003 en Exchange 2010, kan dat en hoe zit dat met encryptie?

Wanneer ik met klanten over een implementatie van Exchange 2010 spreek, dan is een vaak gestelde vraag welke versies van Outlook ze kunnen gebruiken in combinatie met Exchange 2010. Het antwoord daarop is simpel: Outlook 2003 en hoger worden door Microsoft ondersteund in combinatie met Exchange 2010.  Natuurlijk mis je in Outlook 2003 handige features als MailTips en kun je het Personal Archive niet benaderen, maar alle basic functionaliteit werkt gewoon.

En toch lopen veel mensen tegen problemen aan wanneer ze met Outlook 2003 verbinding willen maken met een mailbox op Exchange 2010. De oorzaak daarvan is meestal encryptie. Exchange 2010 vereist namelijk dat MAPI/RPC verkeer tussen client en server versleuteld is, wanneer een client onversleuteld verbinding probeert te maken krijgt hij een foutmelding. Afhankelijk van het exacte scenario kunnen dat 9 verschillende foutmeldingen zijn, waaronder:

  • Kan uw standaardmappen voor e-mail niet openen. Kan het informatiearchief niet openen.
  • Kan Microsoft Outlook niet starten. Kan het Outlook-venster niet openen. Kan de set mappen niet openen. De server is niet beschikbaar. Neem contact op met de beheerder als deze situatie zich blijft voordoen.
  • Kan geen verbinding met de computer met Microsoft Exchange Server maken omdat er netwerkproblemen zijn opgetreden. Als dit probleem blijft bestaan, neemt u contact op met de systeembeheerder.

image

De 6 andere foutmeldingen zijn varianten op bovenstaande, het komt er op neer dat Outlook 2003 geen verbinding kan maken met de database. Daarnaast zie je bij clients die in Cached Mode draaien, dat de status rechts onder op Disconnected blijft staan.

In principe zijn er 2 oplossingen: Outlook aanpassen of Exchange. In het Outlook 2003 profiel kunnen we op het tabblad Security een vinkje zetten voor Encrypt data between…

image

Voor een enkele werkplek is het probleem hiermee opgelost, voor een gecentraliseerde oplossing voor alle werkplekken zul je dit liever met een GPO doen, in combinatie met de Office 2003 Administrative Templates.

Een minder fraaie oplossing is een aanpassing in Exchange 2010. De vereiste voor encryptie is een instelling op de Client Access server namelijk. Door die uit te schakelen kan ook een Outlook client verbinden welke geen gebruik maakt van versleuteling, maar dit gaat ten koste van het beveiligingsniveau van de oplossing. Je vindt deze property met de cmdlet Get-RpcClientAccess en kunt hem aan op uitschakelen met Set-RpcClientAccess:

Set-RpcClientAccess -Server <NaamServer> -EncryptionRequired $false

image 

Misschien ten overvloede, maar deze aanpassing is dus niet aanbevolen. Beter is het om de instelling van Outlook aan te passen, zodat de verbinding met Exchange 2010 versleuteld wordt.

Group Policy Objects bewerken met PowerShell

De uitdaging

Onlangs vroeg een klant mij advies over het configureren van het Outlook 2007 profiel op hun nieuw uit te rollen werkplekken. Nu is dit al redelijk eenvoudig doordat de nieuwe Exchange 2010 omgeving Autodiscover aanbiedt, maar de gebruiker wordt nog steeds geconfronteerd met een eenmalige wizard om Outlook te configureren. Ik zocht dus naar een oplossing die er voor zorgt dat Outlook deze wizard overslaat en Autodiscover gebruikt om een Outlook profiel te configureren.

Voorkennis: Voor dit artikel ga ik er van uit dat je bekend bent met de basics van het configureren van een Outlook profiel, dat je weet hoe Autodiscover in een Active Directory domein werkt en bekend bent met GPO’s.

Omdat mijn ervaring op dit gebied uit het 2003-tijdperk stamt, heb ik het volgende artikel gelezen om meer te weten te komen over het aanpassen van Outlook: Deploying additional registry values in the Office Customization Tool for Outlook 2007. Daar lees je over de ZeroConfigExchange key, als we deze in het register zetten en een waarde van 1 geven dan zal Outlook het gewenste gedrag vertonen. Om precies te zijn:

Key: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\AutoDiscover
DWORD: ZeroConfigExchange
Values: 0 (or missing) = default autoconfiguration functionality
  1 = no interaction except for credentials prompt (if required)

De vraag is dan natuurlijk hoe we deze key op 1500 werkplekken in het register krijgen. Er zijn verschillende manieren om dit te doen, onder andere:

  1. Een opdrachtregel in het inlogscript, bijvoorbeeld: reg /s MijnKey.reg
  2. Een GPO en een custom ADM template schrijven
  3. Group Policy Preferences gebruiken
  4. Een 3rd party ‘workspace manager’ gebruiken
  5. Een GPO bewerken met PowerShell

Met PowerShell?

Deze klant heeft servers met Windows Server 2008 R2 en Windows 7 beheerwerkplekken, dus het ligt voor de hand om de nieuwe AD PowerShell functionaliteit te gaan gebruiken. Naast PowerShell, hebben we ook de GPMC Windows Feature nodig. Laten we deze eerst op ons systeem installeren. In PowerShell:

Import-Module ServerManager
Add-WindowsFeature GPMC

Met de eerste regel importeren we de PowerShell module ServerManager, dit is de PowerShell variant van de bekende beheertool die we voor het eerst in Windows Server 2008 zagen. Het resultaat is dat we een aantal nieuwe cmdlets beschikbaar krijgen in deze sessie, kijk maar eens met Get-Module ServerManager | fl welke dat zijn. In de tweede regel gebruiken we één van deze cmdlets om de Group Policy Management Console feature te installeren, die hebben we nodig om GPO’s te kunnen bewerken. Wanneer dit klaar is importeren we de GroupPolicy module in onze sessie:

Import-module GroupPolicy

Nu kunnen we de Set-GPRegistryValue cmdlet gebruiken om een registry value aan het een bestaande GPO toe te voegen. Hiervoor moeten we onder andere de naam van de GPO hebben, ik weet dat er iets van ‘user’ in de naam staat maar herinner me de naam niet precies. Daarom gebruik ik de Get-GPO cmdlet om de juiste naam te kunnen gebruiken:

Get-GPO -all | where { $_.displayname -like "*user*" }

Het resultaat:

DisplayName      : User Settings
DomainName       : domain.local
Owner            : DOMAIN\Domain Admins
Id               : aec2911a-cc51-427e-8b8a-767dbfef87d7
GpoStatus        : ComputerSettingsDisabled
Description      :
CreationTime     : 31-1-2010 13:42:19
ModificationTime : 25-4-2010 11:24:12
UserVersion      : AD Version: 51, SysVol Version: 51
ComputerVersion  : AD Version: 0, SysVol Version: 0
WmiFilter        :

Goed, nu we weten welke GPO we willen bewerken en weten wat de er in willen zetten kunnen we aan de daadwerkelijke opdracht beginnen. In plaats van een lange regel te typen, geef ik de voorkeur aan een klein scriptje waar in we met variabelen werken. Het is niet strikt noodzakelijk, maar maakt het wel heel gemakkelijk om je stukje code aan te passen of nog eens vaker te gebruiken. In de Technet Library heb ik de help-pagina opgezocht van de cmdlet: Set-GPRegistryValue. Daar lees ik over de parameters die nodig zijn om de registry key vaan de GPO toe te voegen. In het script begin ik met het vullen van deze variabelen:

$gpo = "User Settings"
$key = "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\AutoDiscover"
$valuename = "ZeroConfigExchange"
$type = "Dword"
$value = 1

Vervolgens roep ik de cmdlet aan met de juiste parameters:

Set-GPRegistryValue -Name $gpo -Key $key -ValueName $valuename -Type $type -Value $value

Voor de duidelijkheid voeg ik nog wat commentaar toe en sla ik het scriptje op als BewerkGPO.ps1, dat ziet er uiteindelijk zo uit:

## Vul hier de juiste waardes in:
$gpo = "User Settings"
$key = "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\AutoDiscover"
$valuename = "ZeroConfigExchange"
$type = "Dword" # Mogelijke waardes: {<Unknown> | <String> | <ExpandString> | <Binary> | <DWord> | <MultiString> | <QWord>}
$value = 1

## Importeer de GPMC module voor PowerShell
Import-module grouppolicy

## Voeg de key toe aan de GPO
Set-GPRegistryValue -Name $gpo -Key $key -ValueName $valuename -Type $type -Value $value

Het resultaat

En, zou het gelukt zijn? Helaas zijn deze cmdlets in bepaalde opzichten nog niet zo gebruiksvriendelijk als ervaren beheerders van Exchange misschien zouden verwachten. Sommige Get-cmdlets kennen bijvoorbeeld een –all parameter, anderen accepteren een wildcard en bij andere cmdlets moet je precies weten wat je zoekt. Om overzicht te krijgen is het misschien beter om een rapportje te laten genereren:

Get-GPO -all | where { $_.displayname -like "*user*" } | Get-GPOReport -ReportType html -Path c:\temp\report.html

In dit artikel hebben we gezien hoe we PowerShell kunnen gebruiken om met Group Policies te werken. Voor meer informatie over de gebruikte Group Policy cmdlets verwijs ik naar deze plek in de TechNet Library. Ter afsluiting nog een tip, verander 12.0 in de key door 14.0 om de key ook voor Outlook 2010 toe te voegen.