Tuesday, April 29, 2014

Download alle MEC 2014 sessies en presentaties in één keer

MEC 2014 was geweldig! Als je er niet geweest bent dan kun je de opgenomen sessies (alles behalve de Experts Unplugged sessies) en de presentaties downloaden op Channel 9: http://channel9.msdn.com/Events/MEC/2014 Maar ook als je wel geweest bent, zoals ik, dan was er veel meer te zien dan je in die paar dagen kon bijwonen.

Peter Schmidt heeft een bestaand script aangepast waarmee je alles opgenomen sessies en de presentaties kunt downloaden, iets wat ik je van harte aan kan bevelen. Het gaat in totaal om zo’n 20 GB aan data die standaard op C: komt te staan, vergeet dus niet om het standaard pad aan te passen voordat je het script start. Het script vind je hier: http://gallery.technet.microsoft.com/All-Videos-and-Slides-from-2f641dd2

Zelf heb ik al kort na MEC een groot aantal uitgebreide ‘recaps’ langs zien komen waar ik zelf weinig aan toe te voegen heb. Dave Stork kwam tot de zelfde conclusie en maakte in plaats van zijn eigen recap een overzicht van de recaps die anderen als geschreven hebben: MEC 2014 Meta recap. Leesvoer tijdens het wachten tot de MEC sessies gedownload zijn. :)

image

Woord van de dag: recap. :)

Monday, April 28, 2014

The term 'telnet' is not recognized as the name of a cmdlet

Telnet is de ideale tool waarmee je snel kunt testen of je ergens mail kunt afleveren en of de firewallconfiguratie een bepaalde TCP connectie toestaat. Maar er zijn natuurlijk nog veel meer situaties waarbij je Telnet zou willen gebruiken. Helaas staat Telnet sinds Windows Server 2008 standaard niet meer geïnstalleerd op de servers, het is nu een Windows Feature geworden die je zelf moet installeren.

image

Als je dit vergeet dan krijg je een melding als deze:

telnet : The term 'telnet' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

Gelukkig kun je Telnet eenvoudig installeren met het Add-WindowsFeature cmdlet:

Add-WindowsFeature telnet-client

Wanneer je nu de prerequisits voor Exchange op een server installeert volgens de beschrijving op deze pagina: Exchange 2013 Prerequisites, maak er dan een gewoonte van om Telnet-Client aan de lijst toe te voegen. Zo grijp je nooit mis wanneer je Telnet nodig hebt.

Extra tip: Hetzelfde geldt natuurlijk voor de AD management tools als ADSIEdit en Active Directory Users and Computers. Voeg hiervoor RSAT-ADDS toe aan de lijst met te installeren Windows Features als je deze graag op al je servers beschikbaar hebt.

Friday, April 25, 2014

Kan een mailbox niet vinden in Exchange 2013 EAC

Soms zijn het van die kleine dingetjes… Iemand vertelde dat hij een mailbox niet kon vinden in Exchange Admin Center terwijl deze wel moest bestaan. Ik opende Exchange Management Shell en deed een Get-Recipient *naam* en vond de mailbox direct. Dus samen in EAC gekeken en inderdaad leek de mailbox niet in de lijst met postvakken te staan.

Ook na een klik op het vergrootglas en het ingeven van een deel van de naam bleef de lijst leeg.

image

De oplossing bleek simpel te zijn, deze mailbox was van het type Shared en stond onder gedeeld. In de Exchange 2013 EAC is er helaas geen mogelijkheid meer om alle ontvangers te doorzoeken, bij vorige versies kon je één niveau hoger in de Exchange Management Console klikken om alle ontvangers te doorzoeken.

Gebruik bij twijfel in ieder geval de EMS en Get-Recipient, hiermee kun je wildcards gebruiken en doorzoek je in één klap alle mailboxen (User, Resource, Shared, etc.), distributielijsten, contacts en mail-enabled public folders.

Thursday, April 24, 2014

Exchange best practice: split-DNS zonder split-DNS

Vanaf 2000 was het advies om voor Active Directory een domeinnaam te kiezen die eindigt op .local, of in ieder geval afwijkt van de externe namespace. De tijd heeft intussen niet stil gestaan en dit wordt niet langer als best practice beschouwt. Bijvoorbeeld omdat we voor sommige applicaties SSL certificaten gebruiken waar eigenlijk zowel de interne als de externe namespace op moet staan. Certificate authorities zijn de afgelopen jaren massaal gestopt met het uitgeven van certificaten met een .local naam, omdat de aanvrager niet kan bewijzen dat hij eigenaar is van deze namespace.

Het advies voor Exchange-omgevingen is om zo min mogelijk namespaces te hanteren en bij voorkeur intern en extern dezelfde naam te gebruiken om Exchange-diensten op te bereiken. Voor organisaties die hun externe namespace nog niet in de interne DNS-servers geïntroduceerd hebben kan dit een behoorlijke impact hebben. Na het aanmaken van de DNS-zone in de interne servers moet je direct records aanmaken die ook in de externe zone staan, denk aan host records voor bijvoorbeeld www, portal of webmail.

Voor organisaties die de Exchange-namespace wel graag intern beschikbaar willen hebben maar zonder de hele zone te introduceren kan de DNS Pinpoint methode interessant zijn. Op deze manier wordt een naam als webmail.office365lab.com aangemaakt als een zone op zich, in plaats van de zone office365lab.com met daarin een host record voor webmail.

In dit geval wordt intern de zone domain1.local gebruikt:

image

De publieke namespace zijn webmail.office365lab.com en autodiscover.office365lab.com:

image

Beide hostnamen zouden we intern ook graag willen kunnen resolven en wel naar het VIP van de load balancer: 192.168.200.184. Dit doen we met de volgende commando’s op de Command Prompt:

dnscmd . /zoneadd webmail.office365lab.com. /dsprimary
dnscmd . /recordadd webmail.office365lab.com. @ A 192.168.200.184
dnscmd . /zoneadd autodiscover.office365lab.com. /dsprimary
dnscmd . /recordadd autodiscover.office365lab.com. @ A 192.168.200.184

image 

Als we de DNS console verversen zien we twee nieuwe forward lookup zones met elk een (same as parent foler) record met het IP-adres 192.168.200.184:

image

Wanneer we op een interne client nu de IP-adressen opvragen voor bijvoorbeeld www.office365lab.com en autodiscover.office365lab.com dan zien we dat die laatste intern geresolved wordt terwijl het verzoek voor www.office365lab.com gewoon aan de externe DNS-server wordt doorgezet.

image

De DNS Pinpoint methode is een eenvoudige manier om intern en extern de zelfde namespace te kunnen gebruiken, zonder helemaal over te stappen op Split-DNS.

SharePoint Bibliotheken en de limiet van 5.000 objecten

Geschiedenis

Later kom ik terug op het getal 5.000 uit de titel, dat beloof ik. Maar eerst gaan we even een jaar of vijftien terug. Begin jaren 2000 richt Ray Ozzy, op dat moment vooral bekend als bedenker van Lotus Notes, het bedrijf Groove Networks op en ontwikkelt een product waarmee meerdere gebruikers kunnen werken in één set van bestanden. Toen Microsoft het bedrijf in 2005 overnam, werd Groove Virtual Office opgenomen in de Microsoft Office familie en op de markt gebracht als Microsoft Office Groove 2007.

Met Groove wordt het voor het eerst mogelijk om SharePoint Document Libraries offline te synchroniseren om ook zonder internettoegang aan te kunnen werken. Wijzigingen tussen server en client worden automatisch gesynchroniseerd.

Vanwege de soms wat problematische synchronisatie hebben veel gebruikers een haat/liefde verhouding met Groove. Maar de tool vervult belangrijke functionaliteit en is ontzettend belangrijk voor de adoptie van SharePoint server. Groove is here to stay.

In Office 2010 komt de tool terug als SharePoint Workspace, deze nieuwe naam geeft wat beter aan dat je de tool moet zien als de logische client voor gebruik met SharePoint server. De synchronisatie, in combinatie met het dan nieuwe Office Upload Center, verloopt ook SharePoint Workspace soms problematisch. Conflicten met bestanden, het herhaaldelijk vragen om credentials en niet goed omgaan met ongeldige bestanden zorgen voor veel irritatie. In forums en blogs wordt geschreven welke bestanden je moet verwijderen om de boel compleet te resetten en weer aan het synchroniseren te krijgen.

In Wave 15 hebben we een nieuwe naamsverandering, nu heeft de tool SkyDrive Pro en maakt geen onderdeel meer uit van Office 2013. Deze naam is verwarrend omdat dezelfde naam ook gebruikt wordt voor de persoonlijke werkruimte in SharePoint Server en SharePoint Online, voorheen bekend onder de term MySites. En nadat de naam SkyDrive niet langer gebruikt mag worden om juridische redenen wordt de tool omgenoemd tot OneDrive for Business. Wat helaas ook geldt voor de persoonlijke werkruimte in SharePoint die dus weer dezelfde naam krijgt.

Na drie of vier naamwijzigingen zijn er twee zaken gelijk gebleven: de naam van het proces en de synchronisatieproblemen…

image

Beperkingen

Waarom deze lange inleiding? Omdat ik anders niet uit kan leggen waarom de offline client voor SharePoint anno 2014 nog steeds een aantal beperkingen heeft die in 2004 misschien acceptabel waren maar in 2014 nergens meer op slaan.

Zo ondersteunt SharePoint 30.000.000 (30 miljoen!) bestanden in een Document Library, maar kan OneDrive for Businesses er maximaal 5.000 synchroniseren. Beter gezegd: OneDrive for Businesses kan geen Libraries synchroniseren die meer dan 5.000 bestanden en/of mappen hebben. Het synchronisatieproces stopt of kan niet gestart worden voor nieuwe Libraries.

De interne database van OneDrive for Businesses ondersteunt in totaal 20.000 bestanden of mappen, dus zelfs wanneer je de data verdeelt over meerdere Document Libraries kan het voorkomen dat je tegen de limiet van 20.000 objecten in totaal aanloopt. Tenslotte mag de totale hoeveelheid te synchroniseren data niet meer dan 2 GB bedragen.

Limiet Waarde
Bestanden en mappen per Document Library Maximaal 5.000
Bestanden en mappen in totaal te synchroniseren Maximaal 20.000
Hoeveelheid te synchroniseren data Maximaal 2 GB

Voorbeeld

Als voorbeeld heb ik een lokale directory gevuld met 4.995 kleine bestanden:

1..4995 | % { New-Item -Path c:\temp -Name "$_.txt" -Value (Get-Date).toString() -ItemType file}

Deze bestanden heb ik vervolgens gekopieerd naar de hoofdmap van een nieuwe SharePoint Online Document Library.

image

Wanneer we deze nu willen synchroniseren naar de lokale computer starten we dit proces met een klik op de ‘synchroniseren’ knop. Na een tijdje is het synchroniseren ingeregeld en kunnen we de bestanden lokaal op de computer vinden, in de directory staan nu de 4.995 bestanden die ook online stonden.

Bij wijze van test voeg ik lokaal een directory toe, zes keer in totaal. Bij deze zevende verschijnt geen groen vinkje meer ten teken dat de wijziging naar SharePoint Online gesynchroniseerd is.

image

Je zou dit in de praktijk snel over het hoofd zien, zeker omdat deze icoontjes steeds met enige vertraging bijgewerkt worden. In de praktijk werk je misschien door en merk je pas later dat je wijzigingen niet in SharePoint verschijnen, het zelfde geldt voor wijzigingen in SharePoint die op jouw computer niet langer doorgevoerd worden. Stel je voor dat het inmiddels om een aantal dagen werk gaat, of dat je veel bestanden verplaatst of naar SharePoint gekopieerd hebt!

Als je weet waar je moet kijken, namelijk het System Tray icoontje, dan valt op dat er iets aan de hand is:

image 

Wanneer je met de rechter muisknop klikt en vervolgens View sync problems kiest dan verschijnt het volgende scherm:

image

Gelukkig zijn er in deze testomgeving geen andere issues en is direct duidelijk wat de oorzaak is:

We can't sync this library because it's too large. For more information, please see SkyDrive Pro help.

Natuurlijk zou deze melding nog iets concreter kunnen, of zou een directe verwijzing naar de concrete informatie op zijn plek zijn, maar het is in ieder geval iets. Om het probleem op te lossen heb ik online de mappen 4, 5 en 6 verwijderd. Vervolgens bij het System Tray icoontje gekozen voor Sync Now omdat het proces niet vanzelf op gang kwam.

Nu de synchronisatie weer loopt blijk ik toch Map 6 weer te zien maar een kniesoor die daar op let, het is geen productiedata maar zijn slechts testbestandjes.

image

Advies

Microsoft werkt enorm hard aan Office 365, SharePoint Online en SharePoint Server. We zien meerdere keren per jaar updates verschijnen die het werken makkelijker maken, functionaliteit toevoegen of anderszins verbetering brengen. Maar als we constateren dat we de limieten van Groove en opvolgers al ruim 10 jaar ongewijzigd zijn dan heb ik er een hard hoofd in dat die snel verholpen zullen worden. Tenzij Microsoft eerdaags met een nieuwe oplossing komt die niet meer op deze oude techniek gebaseerd is.

Wanneer offline synchronisatie voor jou of jouw gebruikers belangrijk is, werk dan met meerdere Document Libraries om het aantal bestanden en mappen per bibliotheek kleiner dan 5.000 te houden. Synchroniseer je meerdere Document Libraries, denk dan aan de limiet van 20.000 items in totaal en de maximale grootte van 2 GB.

Gebruik je Office 365 SharePoint Online of SharePoint Server 2013? Installeer dan de laatste versie van OneDrive for Business. Instructies en de downloadlink vind je hier: How to install the OneDrive for Business (formerly SkyDrive Pro) sync client for SharePoint 2013 and SharePoint Online

Wil je graag werken in de Windows Verkenner maar heb je geen behoefte aan offline toegang? Open de bibliotheek dan gewoon met de Verkenner:

image

Is het een puinhoop geworden? Klik dan met de rechtermuisknop op het System Tray icoon en kies Herstellen. Er wordt dan een backup gemaakt waarna de synchronisatie verbroken en opnieuw aangemaakt wordt. Wel is het dan mogelijk dat je niet gesynchroniseerde wijzigingen zelf aan de hand van de backup moet herstellen, pas hier dus mee op.

Opvolger van FIM en het einde van Forefront

Niet zo heel erg lang geleden werden alle oplossingen die iets met beveiliging deze in de Microsoft Forefront familie ondergebracht. De nieuwe ISA Server heette Forefront Threat Management Gateway 2010 en de nieuwere versies van Antigen kregen een naam die startte met Forefront Protection for…

Naast de familienaam hadden de producten zelf meestal weinig overeenkomsten. Er was geen centrale beheeroplossing voor de antimalware producten voor server en desktop en de oplossingen voor de diverse aplicaties. Forefront UAG was het oude product van Whale, TMG een doorontwikkeling van Proxy Server 2.0 en de al eerder genoemde Forefront Protection for.. producten waren opgefriste versies van Antigen.

In september 2012 kondigde Microsoft het einde aan van TMG en bijna de hele rest van de familie behalve UAG en Forefront Identity Manager. Een dik jaar later viel ook het doek voor UAG en bleef alleen nog FIM over, hoewel het inhoudelijk ook op dat vlak stil bleef. Wel is duidelijk dat de relevantie van FIM in het tijdperk van Cloud Computing nooit zo groot geweest is en dat FIM ook de komende jaren de verbindende schakel blijft tussen Private en Public Cloud.

Deze week werd er meer bekend over de opvolger van FIM 2010 die medio 2015 gaat verschijnen. Inhoudelijk wordt het product klaargemaakt voor het tijdperk van BYOx, Cloud Computing en hybride scenario’s. Maar ook de naam verandert: Microsoft Identity Manager. Waarmee het definitieve einde aangekondigd is voor de Forefront familie van beveiligingsproducten.

Wat we daarvan moeten vinden? Dat is een lastige. Voor TMG en UAG geldt dat een deel van de functionaliteit om applicaties te publiceren verhuist naar Windows Server, ik denk dat dit een goede ontwikkeling is. Forefront Protection for Exchange zal gemist worden, evenals zijn ‘broertjes’ voor SharePoint en Lync. Microsoft schuift voor email de hosted Exchange Online Protection naar voren maar voor veel organisaties betekent dit dat ze kijken naar een alternatief onder de bekende leveranciers van dit soort software.

Identity en Access Management (IAM) is nog nooit zo relevant geweest, maar of dit de naam MIM rechtvaardigt? Ik denk dat hier nog wel naamswijziging aan gaat komen. Of zouden we met Microsoft Azure en Microsoft Identity Manager juist een meer consistente naamgeving gaan krijgen die niet bij iedere versie gewijzigd hoeft te worden? Misschien is dit nog niet eens zo’n gek idee…

Tuesday, April 22, 2014

Nieuwe versie Azure/Office 365 DirSync: 6765.0006

Versie 6765.0006 van de Microsoft Azure/Office 365 Directory Sync tool is uitgebracht. De laatste versie heeft net als de vorige release een aantal bugfixes die te maken hebben met de Password Sync feature. Download de laatste versie hier: Windows Azure Active Directory Sync tool – 64 bit

Meer informatie over de laatste en voorgaande versies kun je lezen in de TechNet Wiki pagina: Microsoft Azure Active Directory Sync tool - Version Release History

Tuesday, April 15, 2014

Public Folders migreren naar Exchange 2013? Typo in MS script

Op http://technet.microsoft.com/en-us/library/jj150486(v=exchg.150).aspx vind je in stap 4 een kort script om meerdere Public Folder mailboxen aan te maken. Hierin staat een typefout:

$numberOfMailboxes = 25; 
for($index =1 ; $index -le $numberOfMailboxes ; $index++)
{
$PFMailboxName = "Mailbox"+$index; if($index -eq 1) {New-Mailbox -PublicFolder $PFMailboxName -HoldForMigration:$true -IsExcludedFromServingHiearchy:$true;}else{New-Mailbox -PublicFolder $PFMailboxName -IsExcludedFromServingHierarchy:$true}
}


In het vet gedrukte woord mist een r, dit moet zijn: IsExcludedFromServingHierarchy. Let hier even op dat je dit aanpast voordat je het script draait. Te laat? Zet de property dan gewoon zelf goed met Set-Mailbox –IsExcludedFromServingHierarchy.

Export-PublicFolderStatistics.ps1 en Parameter declarations are…

Bij een Public Folder migratie van Exchange 2007 naar Exchange 2013 of Exchange Online moet je het script Export-PublicFolderStatistics.ps1 uitvoeren op Exchange 2007. Hierbij kun je tegen de volgende foutmelding aanlopen:

[PS] C:\Program Files\Microsoft\Exchange Server\Scripts>.\Export-PublicFolderStatistics.ps1 "C:\PFMigration\folder2mapsize.csv"  Ex2007.domain.local
Parameter declarations are a comma-separated list of variable names with optional initializer expressions.
At C:\Program Files\Microsoft\Exchange Server\Scripts\Export-PublicFolderStatistics.ps1:16 char:168
+         HelpMessage = "Full path of the output file to be generated. If only filename is specified, then the output file will be generated in the current directory.")] <<<<

Deze fout kan voorkomen als je PowerShell 1.0 op de server hebt, om dit script uit te voeren is minimaal PowerShell 2.0 nodig. Download deze hier: http://support.microsoft.com/kb/968929/nl