Tuesday, July 30, 2013

Tweede versie van Exchange 2013 CU2 uit: verplichte update

Een paar weken geleden bracht Microsoft de tweede Cumulative Update voor Exchange 2013 uit. Nog geen drie dagen later volgde dit artikel waarin een scenario beschreven wordt waarbij je de permissies van (Modern) Public Folders kwijt kunt raken.

In eerste instantie werd aangekondigd dat een interim update zou verschijnen met een oplossing voor dit probleem maar Microsoft heeft er voor gekozen om een aangepaste versie van CU2 uit te brengen waar deze fix in verwerkt is. En deze ‘v2’ van CU2 is vandaag beschikbaar gekomen.

Let even goed op:

Regardless of whether you are using modern public folders, we strongly recommend upgrading to this build of Exchange 2013 RTM CU2. Any security updates released for CU2 will be dependent on this build.

Dus ook als je de v1 versie van CU2 al geïnstalleerd had en geen gebruik maakt van Modern Public Folders, dien je evengoed de bijgewerkte versie te installeren. Downloaden doe je hier. Je herkent de nieuwe versie aan de toevoeging –v2 in de bestandsnaam:

image

Friday, July 19, 2013

Exchange 2013 CU1 en CU2 overschrijft OWA en ECP authentication settings

Een vervelend issue in Exchange 2013, na het installeren van een Cumulative Update (CU) worden de authenticatie-instellingen voor OWA en ECP/EAC terug op de default waardes gezet. Wanneer je bijvoorbeeld een reverse proxy gebruikt dan zal deze niet langer met Basic kunnen authenticeren tegen Exchange voor de /owa en /ecp virtual directories omdat Exchange beantwoordt met de FBA inlogpagina.

Dit issue zat al in CU1 en is helaas nog niet opgelost met CU2. Wel is er sinds een paar dagen een knowledgebase artikel die het issue omschrijft: The FBA page is displayed when a user accesses OWA or ECP to log on to Exchange Server 2013

In mijn geval heb ik alle servers in één site waarvan ik de settings identiek wil herstellen:

image

Ik kan nu gewoon alle OWA en CAS virtual directories opvragen en opnieuw configureren:

image

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -FormsAuthentication $false –BasicAuthentication $true
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -FormsAuthentication $false –BasicAuthentication $true

Gevolgd door een iisreset op iedere CAS server die nu aangepast is.

Laten we hopen dat Microsoft dit snel opgelost heeft en dat we deze fout niet in een volgende CU terug zullen zien. Interessant detail in het KB-artikel trouwens, er wordt gesproken over het Exchange 2013 Exchange Control Panel. Was de schrijver even vergeten dat dit in Exchange 2013 de naam Exchange Admin Center gekregen heeft?

Thursday, July 11, 2013

Baseboard Management Controllers: handig maar zo lek als een mandje

Het zit in bijna iedere server, een Baseboard Management Controller (BMC). Dat is een interface die je kunt gebruiken om buiten het OS om contact te maken met je server, bijvoorbeeld om een reset te geven of om juist een remote installatie van het OS te doen. Een voorbeeld van dat laatste is Bare Metal Deployment van System Center VMM waarmee je geautomatiseerd Hyper-V servers kunt uitrollen. Bijna 200 fabrikanten hebben een BMC in hun producten maar je kent ze misschien waarschijnlijk wel als Dell DRAC, HP iLO en Supermicro IPMI.

IPMI

Een BMC is een kleine embedded computer die meestal Linux draait en direct toegang heeft tot de devices op het moederbord. De interface om met de BMC te communiceren heet IPMI, dat staat voor Intelligent Platform Management Interface. Nu heeft Dan Farmer, een security researcher die aan de wieg stond van wat we nu kennen als vulnerability scanners, onderzoek gedaan naar de security van BMC en IPMI. De uitkomsten zijn niet bepaald geruststellend, IPMI implementaties bevatten een flink aantal beveiligingslekken en BMC’s zijn in sommige gevallen zelfs vanaf het internet bereikbaar.

Zwakke plekken

Zo worden bijvoorbeeld IPMI credentials unencrypted opgeslagen, is een brute-force attack op een password hash mogelijk, draait een kwetsbare versie van UPnP en staat bij andere merken een standaard anoniem account met beheerrechten ingeschakeld. Een ander veelvoorkomend issue is dat beheerders de standaard credentials van de BMC niet aanpassen, alleen HP genereert een uniek password aan de hand van het serienummer van de server. Voor andere systemen is het vaak mogelijk om in te loggen met root:calvin (Dell), ADMIN:ADMIN (Supermicro) of root:changeme (SUN/Oracle ILOM). En als je één achterdeurtje dichtzet dan staan er vaak nog twee andere open waarmee je de eerste ook weer open kunt zetten.

Risico’s

Het eerste probleem met deze kwetsbaarheden is dat de impact groot is. Toegang tot de BMC is vergelijkbaar met fysieke toegang tot de server, dit betekent dat je de server kunt rebooten met een geïnfecteerde bootdisk of in kunt loggen op een console. Het tweede probleem is dat het moeilijk is om je hier tegen te wapenen, bij de meeste systemen kun je de BMC namelijk niet uitschakelen tenzij je de stroom van de server haalt. Fabrikanten lijken zich ook nog niet echt bewust te zijn van de ernst en de noodzaak om hier meer aandacht aan te besteden.

Aanbevelingen

Kijkend naar deze bevindingen dan kun je het volgende in ieder geval doen:

  • Update de BMC firmware regelmatig
  • Zorg dat je een gescheiden VLAN voor Out-of-band management gebruikt en beperk de toegang tot dit netwerk
  • Pas het wachtwoord aan
  • Zorg dat je bekend bent met de vulnerabilities in jouw BMC en schakel kwetsbare functionaliteit uit, indien mogelijk

Lees voor meer informatie het artikel IPMI: Freight Train to Hell van Dan Farmer, of de verkorte versie IPMI: Express Train to Hell. Meer informatie over deze artikelen vind je op de site van de auteur.

Dan Farmer (bron: WikiPedia)

Wednesday, July 3, 2013

new-TestCasConnectivityUser.ps1 nog steeds stuk in Exchange 2013

Microsoft doet geweldige dingen op het moment, zo zit Exchange 2013 vol met interessante verbeteringen. Met name nu Microsoft steeds meer ervaring opdoet met grootschalige deployments in hun eigen Office 365 datacenters is voor het Exchange team ook steeds helderder waar de pijnpunten zitten. Dus is het nu makkelijker om te upgraden, is het eenvoudiger gemaakt om met meerdere sites te werken en is MAPI vervangen door het veel robuustere Outlook Anywhere.

En dan heb je nog van die bugs waar je vooral tegenaan loopt wanneer je Exchange inzet in normale klantomgevingen. Een voorbeeld is het new-TestCasConnectivityUser.ps1 script. Dit script maakt een testmailbox aan die gebruikt wordt door de verschillende Test-* cmdlets. Je vind dit script in de scriptsfolder in de Exchange directory, in EMS is dat pad beschikbaar in de variabele $exscripts.

cd $exscripts
./new-TestCasConnectivityUser.ps1

De testgebruiker wordt standaard in de \Users container geplaatst. Het issue hier is dat door een foutje in het script een foutmelding wordt gegeven wanneer je naast de standaard container \Users nog meer OU’s hebt met de naam Users, bijvoorbeeld \Organisatie\Afdeling\Users. Helaas is de foutmelding niet echt behulpzaam, laat staan correct:

CreateTestUser : Mailbox could not be created. Verify that OU 'Users' exists and that password meets complexity requirements.

Een workaround is om de naam van de OU mee te geven als optie bij het aanroepen van het script:

./new-TestCasConnectivityUser.ps1 –OU domain.local\Users

Komt dit issue je bekend voor? Dat kan, het zat ook al in Exchange 2010 en ik schreef er al eerder over in Januari 2010. Uiteraard heb ik dit ook gemeld aan Microsoft, als MVP kon ik dat direct bij het Exchange team doen. Helaas heeft dit niet voldoende prioriteit gehad en zit de bug er nog steeds in.

Tuesday, July 2, 2013

Mailbox moves in Exchange 2010: Post-move cleanup failed. The operation will try again in 30 seconds

Wanneer je in Exchange 2010 SP2 (UR3 of hoger) mailboxen verplaatst dan eindigen die vaak in status “Completed with warnings”. In het move requestlog zie je vervolgens de volgende regels:

Date & Time [Server] Move has completed and final cleanup has started.
Date & Time [Server] Source mailbox 'Primary (Mailbox GUID)' was successfully cleaned up after the move.
Date & Time [Server] Target mailbox 'Primary (Mailbox GUID)' was successfully reset after the move.
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (1/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (2/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (3/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (4/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (5/6).
Date & Time [Server] Request is complete.

De mailbox lijkt succesvol verplaatst te zijn dus meestal negeren mensen deze meldingen maar. Wel is de bronmailbox nog aanwezig, er heeft namelijk een Soft Delete plaatsgevonden. Deze kunnen we op de bronserver verwijderen met een eenvoudig PowerShell script:

$Mailboxes = Get-MailboxStatistics –Database DB01| where {$_.DisconnectReason -eq “SoftDeleted”}
$Mailboxes | foreach {Remove-StoreMailbox -Database $_.database -Identity $_.mailboxguid -MailboxState SoftDeleted}

Dit issue treed op bij servers met SP2 en UR3 of hoger, het zou opgelost moeten zijn in UR1 voor SP3. Maar let op, op TechNet Forums zijn ook voorbeelden bekend waarbij het probleem dan nog steeds niet opgelost bleek te zijn. Zie voor meer informatie het KB-artikel Mailbox move operation fails when Update Rollup 3 or a later update rollup for Exchange Server 2010 SP2 is installed.

Monday, July 1, 2013

Exchange of Office 365? Installeer altijd de laatste updates voor Outlook

Naast de regelmatige Service Packs worden updates voor Office ook aangeboden in Cumulative Update packs. Je herkent deze aan de releasedatum in de naam, zo is op het moment van schrijven de meest recente versie voor Office 2013 bekend als Office 2013 Cumulative Update for June 11, 2013. Het verdient de aanbeveling om voor Office applicaties, met name Outlook, steeds de laatste Cumulative Updates geïnstalleerd te hebben.

Zo zijn bijvoorbeeld voor Exchange 2013 en Office 365 niet alleen een bepaald service pack vereist maar ook een recent Cumulative Update pack. Omdat in deze packs soms ook nieuwe functionaliteit geboden wordt of de werking van features aangepast wordt, is het erg belangrijk om alle computers in een bedrijfsomgeving op het zelfde (recente) niveau te hebben.

Maar hoe weet je nu wat de meest recente versie is? Dat is wat lastig omdat deze niet altijd aangeboden worden in WSUS of Microsoft Update. Daarom is er een speciaal KB-artikel die de meest recente updates voor Office 200, 2007, 2010 en 2013 vermeld: Cumulative updates are available from the Microsoft Office team to fix reported problems

image

Nog meer informatie over Office updates vind je op het Update center for Office, Office servers, and related products

OCAT wordt OffCAT: Office en Outlook Configuration Analyzer Tool

OCAT stond voor Outlook Configuration Analyzer Tool, een onbekende maar zeer krachtige tool om issues met de configuratie van Outlook naar boven te krijgen. Inmiddels is OCAT omgedoopt tot OffCAT en kan het de configuratie van meerdere Office applicaties onderzoeken. De werking is vergelijkbaar met de aloude Best Practice Analyzers zoals ExBPA: de tool scant de configuratie en vergelijkt deze met een database met best practices en aanbevelingen.

Bij het starten van de tool worden eerst de laatste updates gedownload:

image

Vervolgens kies je een applicatie om te analyseren en kies je eventuele aanvullende opties. Voor Outlook geldt dat je een offline scan kunt doen en een full scan, bij die laatste wordt ook de verbinding met je mailbox meegenomen. Een offline scan doet dit niet, deze gebruik je om Outlook 2003 te analyseren en als je bijvoorbeeld door een issue geen verbinding kunt maken met de server.

Na de scan kun je het rapportje bekijken en per gemeld issue doorlinken naar aanvullende informatie:

image

Meer uitleg over deze tool en een downloadlink vind je hier.