Monday, April 22, 2013

Exchange 2003 verwijderen uit een Exchange 2010 omgeving

Op dit moment ben ik een groot aantal Exchange 2003 servers aan het verwijderen, dit is de laatste en afsluitende fase van een migratie naar Exchange 2010. Dit artikeltje is een opsomming van de documentatie die ik gebruikt heb om dit voor te bereiden en de stappen uit te voeren.

Ondanks dat de meeste stappen eenvoudig zijn, kan het handig zijn om ze voor jezelf in een document te zetten. Neem ook een tabel op met op een rij voor iedere server en een kolom voor iedere uit te voeren taak. Zeker als je met meerdere servers werkt is een vergissing snel gemaakt anders.

Saturday, April 6, 2013

Update: Exchange 2013 en Office 365: Toegang tot OWA niet uit te schakelen

Update: Dit issue is opgelost in CU2 voor Exchange 2013.

In alle recente versies van Exchange is het mogelijk om bepaalde mailbox features uit te schakelen, bijvoorbeeld toegang via Outlook Anywhere, ActiveSync of Outlook Web App. Op dit moment heeft Exchange 2013 een bug waardoor het uitschakelen van OWA toegang voor een mailbox niet werkt. Je kunt de instelling wel doorvoeren maar die heeft geen effect. Dit betreft Exchange 2013 RTM en CU1 maar ook Exchange Online in Office 365 wanneer je een ‘wave 15’ gebruiker bent.
De instelling waar het om gaat vind je in EAC op de volgende locatie: Recipients, Mailboxes, properties van een mailbox, Mailbox features, Email Connectivity:
image
In EMS gaat het om het om de –OWAEnabled switch van het Set-CASMailbox cmdlet:
image
Microsoft biedt een work-around aan maar die is zo onzinnig dat ik die hier niet eens ga behandelen. Als je het echt wilt weten dan kun je hier het Knowledgebase artikel vinden die bovenstaand probleem beschrijft: You can't disable Outlook Web App access for users in Office 365 or on-premises Exchange Server

Wednesday, April 3, 2013

Microsoft geeft ook bijgewerkte Exchange 2013 documentatie vrij

Gisteren was er veel opwinding rond de uitgestelde release van Exchange 2013 CU1. Het wachten was nog op een update van de TechNet Technical Library voor Exchange 2013. Een aantal hoofdstukken over upgraden was al aanwezig maar bevatte nog geen tekst, alleen een placeholder.

Deze informatie is nu bijgewerkt, met name deze stukken zijn voor veel mensen relevant:

Voor meer informatie, zorg dat je deze link bij je favorieten hebt staan: Exchange 2013 Technical Library

Office 365 gebruikers krijgen hun mail terug: “554 mail server permanently rejected message”

Gebruikers van Office 365 hoeven zich doorgaans over de configuratie van hun mailomgeving geen zorgen te maken, Microsoft regelt dit immers. Dan is het ook opvallend als verschillende Office 365 gebruikers af en toe melden dat hun mail door andere organisaties geweigerd wordt. Ze ontvangen dan een Non Delivery Report (NDR) die lijkt op deze:

Delivery has failed to these recipients or groups:

jansen@contoso.com
A problem occurred during the delivery of this message to this e-mail address. Try sending this message again. If the problem continues, please contact your helpdesk.
The following organization rejected your message: mailserver.contoso.com.

Diagnostic information for administrators:
Generating server: bigfish.com

jansen@contoso.com
mailserver.contoso.com #<mailserver.contoso.com #5.0.0 smtp;554 mail server permanently rejected message (#5.3.0)> #SMTP#

Het goed interpreteren van een NDR lijkt wel eens hogere wetenschap, maar het gaat hier met name om de volgende twee delen:

Generating server: bigfish.com

Dit is de server die er niet in geslaagd is om je bericht af te leveren, deze server heeft de foutmelding opgeslagen en aan jou teruggekoppeld. De domein bigfish.com is van Microsoft, dit zijn de servers die uitgaande mail van Office 365 gebruikers proberen te verzenden.

smtp;554 mail server permanently rejected message (#5.3.0)

Dit is het antwoord wat de mailserver van de ontvanger gegeven heeft toen de Office 365 server het bericht af wilde leveren. Een SMTP foutcode die met een 5 begint is een permanente fout, dus heeft bigfish.com het later niet nog eens geprobeerd maar gelijk een NDR opgesteld.

Nu weten we dus dat de mailserver van de ontvanger het bericht geweigerd heeft maar we weten nog niet waarom. Aangezien meerdere gebruikers dit probleem melden bij verzenden naar verschillende domeinen moet er ergens een oorzaak zijn die specifiek aan de servers van Office 365 gerelateerd is. Voor één van onze klanten hebben we dit onderzocht en om toelichting gevraagd aan de beheerder van de ontvangende server. Deze gaf ons de volgende regels uit het logbestand van hun spamfilter:

Mar 29 14:45:37 vps01 qmail-queue-handlers[10396]: from=peter.noorderijk@imara-ict.nl
Mar 29 14:45:37 vps01 qmail-queue-handlers[10396]: to=jansen@contoso.com
Mar 29 14:45:37 vps01 greylisting filter[10397]: Starting greylisting filter...
Mar 29 14:45:37 vps01 greylisting filter[10397]: list type: black, from: tx2outboundpool.messaging.microsoft.com, match string: dsl|pool|broadband|hsd

De oorzaak blijkt een verkeerd geconfigureerde Qmail mailserver te zijn. Deze doet onderzoek naar de verzendende servers en vindt een DNS-record waar het woord ‘pool’ in zit, waarop hij de mail weigert. De bedoeling van die configuratie is om mail verzonden door geïnfecteerde thuiscomputers te weigeren maar deze aanpak blijkt dus niet de juiste.

Nu weten we waar de oorzaak zit, maar nu het oplossen nog. Dit kan alleen de beheerder van de ontvangende mailserver doen, Microsoft of Office 365 Support kunnen hier niets aan doen. Een extra moeilijkheid is dat het hier vaak om gehoste servers gaat met een Plesk control panel waar men weinig in kan configureren, anders dan het spamfilter in zijn geheel aan- of uitschakelen. Als de beheerder wel toegang heeft tot de configuratie kan hij de servers van Microsoft toevoegen aan de whitelist van domeinen:

/usr/local/psa/bin/grey_listing --update-server -domains-whitelist "add:*messaging.microsoft.com"

Veel beter is het natuurlijk om een meer intelligent spamfilter te gebruiken. Mogen we zo vrij zijn om een proefabonnement op Exchange Online Protection aan te bieden? Office 365 gebruikers hoeven zich geen zorgen te maken dat ze mails missen door zo’n misconfiguratie want Exchange Online Protection maakt standaard al deel uit van Exchange Online in Office 365.

Met dank aan collega Peter Noorderijk voor het in bezit krijgen van de logbestanden!

Tuesday, April 2, 2013

Exchange 2013 Cumulative Update 1 is uit!

Bijna een half jaar na het ‘RTM’ gaan van Exchange 2013 is eindelijk de langverwachte coexistence-update uitgebracht. Deze update is nodig om Exchange 2013 in een bestaande Exchange 2007 of 2010 omgeving te kunnen installeren.

Download Exchange 2013 CU 1 hier

Naast de al genoemde ondersteuning voor coexistence bied CU1 ook een aantal andere verbeteringen. Zoals verwacht is het EAC opgefrist, is een enkele knop verhuisd en is UM nu ook in het EAC te managen. Verder kunnen gebruikers in OWA nu ook ‘modern public folders’ openen, maar dit is nog zeer beperk.

Beheerders die Exchange 2013 RTM al uitgerold hadden krijgen met CU1 een service pack-achtige ervaring, Exchange wordt in zijn geheel verwijderd voordat de nieuwe wordt geïnstalleerd. Als je customization toegepast had dan wordt deze hierbij overschreven, maak dus backups. In alle andere gevallen kun je met CU1 een volledige installatie uitvoeren, het is dus niet nodig om eerste 2013 RTM te installeren.

Deze wijze van updaten is dus wat we in het vervolg minimaal vier keer per jaar gaan doen, zie Microsofts aankondiging in Servicing Exchange 2013. Voordeel: regelmatig nieuwe verbeteringen. Nadeel: ingrijpende upgradeprocedure.

Tenslotte nog even een waarschuwing: als je een CU voor Exchange 2013 installeert dan kun je hem niet meer verwijderen.

De volgende documentatie is/komt beschikbaar maar is nu nog niet allemaal online of bijgewerkt:

Voor meer informatie over het upgraden naar Exchange 2013 verwijs ik je ook naar Exchange 2010 upgrade naar Exchange 2013 (deel 1).

Exchange 2013 CU1 Setup ziet bijgewerkte Exchange 2010 Edge Transport server niet

Voordat je de eerste Exchange 2013 server in een bestaande omgeving kunt installeren moeten alle Exchange 2010 servers voorzien van SP3. Ondanks dat je dit gedaan hebt kan het zijn dat Exchange 2013 CU1 toch niet wil installeren en aangeeft dat aan de volgende prerequisit niet voldaan is:

image

All Exchange 2010 servers in the organization must have Exchange 2010 Service Pack 3 or later installed. The following servers don't meet this requirement: <ServerName>

In dit geval is server ex3 een Exchange 2010 Edge Transport server die wel degelijk voorzien is van Exchange 2010 Service Pack 3. De oorzaak van deze melding is dat het versienummer van een Edge Transport nummer alleen tijdens het aanmaken van de Edge Subscribtion in Active Directory weggeschreven wordt. Op dat moment draaide deze Edge Transport server nog Exchange 2010 SP2. Als we de Exchange servers opvragen met Get-ExchangeServer zien we:

image

We zien bij server ex1 het versienummer 14.3 welke staat voor Exchange 2010 SP3. Maar bij server ex3 staat 14.2 en dat is ook exact de reden waarom Exchange 2013 Setup denkt dat nog niet alle servers bijgewerkt zijn. Dit is op te lossen door de Edge Transport server opnieuw te subscriben. De procedure is het zelfde als een eerste subscription, de bestaande subscription wordt overschreven en de bijgewerkte informatie wordt opgeslagen in Active Directory. Zie:

Als we de Exchange servers nu nogmaals opvragen zien we ook bij de Edge Transport server ex3 het goede versienummer 14.3 staan:

image

Als we Exchange 2013 CU1 Setup opnieuw starten dan zal deze niet meer blijven steken bij bovenstaande valse melding.

Monday, April 1, 2013

Exchange 2010 upgrade naar Exchange 2013 (deel 1)

Heel lang geleden was een Exchange upgrade heel eenvoudig. Bij Exchange 2000 kon je de cd in een server stoppen en een in-place upgrade naar Exchange 2003 uit voeren, na een uurtje wachten en een reboot was het klaar. Maar dit proces betekende ook downtime gedurende de upgrade en maakte het voor Microsoft niet eenvoudig om drastische veranderingen door te voeren. Dus was Exchange 2003 de laatste versie met een in-place upgrademogelijkheid. Bij de versies die daarop volgden plaatsen we de nieuwe versie naast de oude, verplaatsen de mailboxen en verwijderen de oude servers.

Voor Exchange 2013 geldt dezelfde aanpak. In dit artikel beschrijf ik de upgrade van Exchange 2010 naar Exchange 2013 aan de hand van een eenvoudige lab-omgeving. Deze bestaat uit een enkelvoudige Exchange 2010 SP2 server, met de drie basisrollen geïnstalleerd: Client Access, Hub Transport en Mailbox. Hierover later meer, eerst de voorbereiding.

Voorbereiding

Voordat we met de migratie beginnen, nog voordat we de eerste Exchange 2013 server in onze organisatie kunnen introduceren moeten allerlei zaken voorbereid worden. Een aantal daarvan zal ik hieronder behandelen.

Servers met Exchange 2003

Exchange 2013 is niet compatible met Exchange 2003, dit houdt in dat alle Exchange 2003 servers uitgefaseerd moeten zijn. Als er nog een Exchange 2003 server in de Exchange organisatie bestaat dan kunnen we Exchange 2013 niet installeren, dit wordt gecontroleerd tijdens de prerequisits check en is niet te omzeilen. Bij het verwijderen van de laatste Exchange 2003 server gelden er nog een paar extra stappen om uit te voeren, meer hierover in het volgende artikel: Remove the Last Legacy Exchange Server from an Exchange 2010 Organization.

Clients met Outlook 2003

Exchange 2013 ondersteunt de volgende versies van Outlook:

  • Outlook 2013
  • Outlook 2010 SP1 with November 2012 Cumulative Update
  • Outlook 2007 SP3 with November 2012 Cumulative Update
  • Entourage 2008 for Mac, Web Services Edition
  • Outlook for Mac 2011

De nog veel gebruikte Outlook 2003 staat niet in deze lijst, het zelfde geldt voor de WebDav versie van Entourage. Dat betekent dat oudere versies van Outlook eerst moeten worden vervangen voordat de mailboxen van deze gebruikers verplaatst worden naar Exchange 2013. Het is verstandig om hier al vroeg in het project mee te starten. Dit geldt met name voor organisaties waar de software op werkplekken niet centraal beheerd wordt. Het niet kunnen upgrade van clientsoftware is een bekende deployment blocker of op zijn minst een factor die de voortgang flink kan vertragen.

Outlook Anywhere

Outlook maakt traditioneel verbinding met Exchange met MAPI, dit is RPC verkeer. Het nadeel van RPC is dat het zich niet goed laten sturen door firewalls en over het internet. Met Exchange 2003 en Outlook 2003 konden we voor het eerst RPC verkeer over een HTTPS tunnel laten lopen, later werd dit bekend onder de naam Outlook Anywhere. Outlook Anywhere wordt meestal gebruikt voor remote gebruikers, zelden voor interne gebruikers. Exchange 2013 daarentegen ondersteunt alleen nog maar Outlook Anywhere, zowel voor interne als externe clients.

Voor veel organisaties is dit geen probleem, Outlook 2007 en hoger ondersteunen Outlook Anywhere immers gewoon. Maar in sommige omgevingen worden GPO’s gebruikt om de instellingen van Outlook te beheren en kan het zijn dat Outlook Anywhere uitgeschakeld is. Controleer dit van tevoren want nadat een mailbox naar Exchange 2013 verplaatst is kan hij alleen nog maar benaderd worden over Outlook Anywhere.

Backup, antivirus, monitoring, BES, etc.

Exchange 2013 is nieuw en is op dit moment nog maar weinig ingezet. Of het nu oorzaak of gevolg hiervan is, veel 3rd party softwareleveranciers hebben hun producten nog niet aangepast voor Exchange 2013. Voor andere producten is het nodig om een update te installeren of zelfs een nieuwere versie aan te schaffen. Denk hierbij aan backupsoftware, monitoringsoftware, antivirus- en spamfilteringsoftware, archiveringsoplossingen of mobility software zoals Blackberry Enterprise Server (BES) of Good for Enterprises.

Maak een inventarisatie van alle software die raakvlakken heeft met Exchange en controleer per product of er een afhankelijkheid is, welke dat is en hoe dit op te lossen. Denk hierbij niet alleen aan het in bezit krijgen van de juiste versie maar zorg ook dat je de installatieprocedure helder hebt. Kun je de upgrade of update vooraf installeren of moet dit samenvallen met de upgrade van Exchange?

Service Pack 3 voor Exchange 2010

Alle servers met Exchange 2010 moeten voorzien worden van Service Pack 3, dus niet alleen de Client Access servers en niet alleen de servers in de site die we gaan upgraden. Dit Service Pack bevat niet alleen alle voorgaande updates maar voegt ook ondersteuning toe om samen te kunnen werken met Exchange 2013. Zo wordt bijvoorbeeld Windows Authentication aangezet op de OWA en ECP virtual directories.

Het upgraden naar SP3 is een taak die niet onderschat moet worden, eenmaal geïnstalleerd kan SP3 niet meer verwijderd worden. De installatie van SP3 omvat een Active Directory schema update en zorgt ook bij een DAG voor een korte downtime die wellicht in een service window gepland moet worden. Op het moment van schrijven heeft Microsoft na Exchange 2010 SP3 nog geen nieuwe update uitgebracht en er is minimaal één onopgelost issue met SP3: Unable to soft delete some messages after installing Exchange 2010 SP2 RU6 or SP3. Het kan raadzaam zijn om even te wachten op het eerstvolgende upgrade verzamelpakket.

Meer informatie en belangrijke aanwijzingen voor Exchange 2010 SP3 staan in de Release Notes en informatie over het upgraden naar een later Service Pack in: Upgrade Exchange 2010 to Exchange 2010 SP1, SP2 or Exchange 2010 SP3.

Exchange 2010 Edge Transport servers

Dan is er nog een eigenaardigheid met Edge Transport servers, maar wie deze niet gebruikt kan deze paragraaf gerust overslaan. Als deze onlangs van Exchange 2010 SP3 voorzien zijn dan wordt het nieuwe versienummer van Exchange niet in Active Directory weggeschreven. Voor deze servers geldt dus dat je na het installeren van SP3 de Edge Subscription opnieuw aan moet maken. Zie:

Vervolg

In dit deel hebben we de voorbereidingen voor de migratie behandeld. In het volgende deel van deze serie ga ik in op het migratieproces.