Virtual Study

25 listopada 2017

Tajemnicza poprawka KB2982006

Kilka dni temu w ramach beta testów aktualizacji do Skype for Business musiałem odinstalować poprawkę dla kilku komponentów i niestety zmuszony byłem do reinstalacji jednego z modułów w całości. Odpaliłem Deployment Wizard i otrzymałem ku mojemu zaskoczeniu błąd, jak widać na obrazku poniżej. 
Error: Prerequisite not satisfied


















Tylko, że przecież ta poprawka w systemie już raz była istalowana. No ale trudno, spróbowałem reinstalacji - niestety dostałem komunikat, że poprawka nie może być zainstalowana na tym systemie.
O co chodzi? Czasami taki komunikat wyskakuje, gdy nie jest zainstalowana jedna z poprawek wymaganych przez KB2982006 - czyli KB2919355 oraz KB2919442. Ale obie były zainstalowane. 
Szukając rozwiązania znalazłem w końcu artykuł na blogu UCLobby, który opisywał, jak naprawić taką sytuację. W tym celu zamiast standardowej instalacji poprawki, należy rozpakować paczkę aktualizacji - w tym celu tworzymy nowy folder np. C:\Install\KB2982006, a następnie rozpakowujemy do niego paczkę:
expand -F:* .\Windows8.1-KB2982006-x64.msu C:\Install\KB2982006
Teraz instalujemy poprawkę narzędziem DISM:
dism /Online /Add-Package /PackagePath:C:\Install\KB2982006\Windows8.1-KB2982006-x64.cab
Instalacja przechodzi poprawnie, co możemy sprawdzić szybko z powershella poprzez get-hotfix.
Proste i efektywne, chociaż nieco niestandardowe. Teraz Deployment Wizard nie będzie już zgłaszał obiekcji
Całą procedurę pokazuje poniższy rysunek. 
Instalacja KB2982006

08 października 2017

Ucz się Jasiu, ucz

Człowiek całe życie się uczy i głupi umiera. To powiedzenie szczególnie jest prawdziwe w odniesieniu do zawodów związanych z technologiami, które szybko się zmieniają, czyli oczywiście IT. Potrzeba ustawicznego dokształcania się jest dla mnie oczywistością, ale nadal spotykam osoby, które tego nie rozumieją. Prawda jest taka, że po 5 latach technologia zmienia się na tyle, że bez aktualizacji wiedzy na temat systemów, aplikacji, platform, etc. można tak naprawdę uznać, że należy awansować na poziom, gdzie nie ma się już bezpośrednio kontaktu z technologią, lub zmienić zawód.
Ja akurat chcę mieć kontakt z technologią więc staram się korzystać z różnych możliwości poszerzania wiedzy. Ostatnio Microsoft trochę zaszalał i udostępnił kilka nowych witryn szkoleniowych, a że nie tylko Microsoft szkoli z nowych technologii, więc uznałem, że warto powiedzieć kilka słów o serwisach, z których korzystam i spróbować je trochę porównać. Kolejność  powiązana ze względami historycznymi (jak długo korzystam z danego serwisu), a nie jakością szkoleń.
  1. MOC - czyli oficjalne szkolenia Microsoftowe. Lista szkoleń dostępna jest na stronie http://www.microsoft.com/learning/default.aspx, a same szkolenia dostarczane są przez ośrodki szkoleniowe. Jako trener aktywny ponad 10 lat, nie będę rozwodził się nad ostatnimi zmianami w procesie zostawania trenerem i kompetencjami szkoleniowymi partnerów. Powiem tylko, że jeżeli szkolenie prowadzi dobry trener to można nie tylko poznać produkt, jego praktyczne stosowanie, a nawet przygotować się do egzaminu certyfikacyjnego Microsoft. Z drugiej strony, muszę przyznać z przykrością, że zakres tematyczny szkoleń nie pokrywa wszystkich produktów, a część szkoleń jest mocno nieaktualna (np. szkolenie z Exchange 2013 nadal wykorzystuje wersję CU1, co wyklucza wiele funkcjonalności dodanych w późniejszych aktualizacjach.
  2. MVA - wirtualna akademia Microsoft. Bezpłatne szkolenia, aktualizowane stosunkowo często. Początkowo za uczestniczenie i ukończenie szkoleń były przyznawane punkty, które można było np. wymieniać na vouchery egzaminacyjne (w ograniczonym zakresie), część cykli szkoleniowych pozwalała również na aktualizację certyfikatów MCSE. Teraz tworzone są cykle szkoleniowe, które po ukończeniu pozwalają uzyskać "odznaki", ale na pewno można uzyskać sporo informacji na wybrane tematy bez ponoszenia nakładów (oczywiście nie licząc czasu). Minusem jest brak laboratoriów (do wybranych szkoleń można znaleźć materiały na githubie), chociaż są testy weryfikujące zdobytą wiedzę po każdym module. Można również nagrać swoje szkolenie i je opublikować.
  3. Microsoft Online Learning to kolejna witryna Microsoft, przeznaczona do nauki (również występuje pod nazwą Imagine Academy - https://imagineacademy.microsoft.com, wspólnie z drugą witryną Partner Academy). Korzystanie jest bezpłatne, ale wymagane są kody dostępowe lub przypisanie konta do organizacji będącej partnerem Microsoft. Materiały wideo, do tego testy online, a nawet certyfikaty (chociaż niepowiązane z oficjalnymi ścieżkami certyfikacyjnymi), wymagane w niektórych obszarach kompetencji partnerskich.
  4. edX - z tą witryną zetknąłem się przy okazji nowego programu certyfikacyjnego Microsoft Professional Program, który został przez Microsoft uruchomiony mniej więcej rok temu. Początkowo składał się on trzech ścieżek (Front-End Web Developer i dwóch bazodanowych), w ostatnim miesiącu zostały dodane dwie kolejne ścieżki - DevOps i Cloud Administrator). Żeby zdobyć certyfikację z danej ścieżki należy ukończyć około 10 szkoleń udostępnianych przez edX. Szkolenia składają się z materiałów wideo, opisów funkcjonalności, labów (czasami wyniki wykonania labów podlegają ocenie) oraz quizów sprawdzających zdobytą wiedzę. W odróżnieniu od MVA, na pytania można odpowiedzieć tylko raz, w niektórych szkoleniach dwa razy. Jeżeli tylko chcemy poznać dany temat, to szkolenie jest bezpłatne, ale gdy chcemy uzyskać certyfikat, to jest ono dodatkowo płatne (najczęściej 99$). Dodatkowo mamy do dyspozycji jeszcze forum dyskusyjne z innymi uczestnikami szkolenia. W ten sposób naprawdę możemy poznać temat szkolenia, również od strony praktycznej, a po uzyskaniu odpowiedniej ilości punktów na podstawie labów i poprawnych odpowiedzi, możemy dopłacić i uzyskać certyfikat. eDX posiada w swych zasobach bardzo szeroki zakres szkoleń - od językowych, przez wiele różnych dziedzin życia aż do technologii IT.
  5. Tech Academy - https://academy.techcommunity.microsoft.com/ nowo utworzona w ramach serwisu Techcommunity, mocno promowanego przez Microsoft w ostatnim roku. W Akademii udostępniono kilkanaście ścieżek szkoleniowych, dotyczących głównie Azure i Office365, również w zakresie podstaw programowania dla tych technologii (np. Graph czy dodatki do Teams). W witrynie są dostępne materiały wideo, ale mamy też możliwość pobrania slajdów do danej prezentacji czy też dostępu do repozytorium na GitHubie z materiałami użytymi w danej sesji. Dopiero zacząłem korzystać z tej witryny, ale wygląda ciekawie.
  6. Plurasight - To niezależna firma dostarczająca (podobnie jak eDX) materiały szkoleniowe w postaci materiałów wideo. Dostęp do niej jest możliwy na podstawie wykupionej subskrypcji. Jest dużo ścieżek szkoleniowych przede wszystkim w obszarach developerskich, można również pobierać materiały wykorzystywane w przykładach i ćwiczeniach.
  7. LinkedIn - ten portal (całkiem niedawno kupiony przez Microsoft), gdzie również dla użytkowników Premium dostępna jest część ze szkoleniami video. Tutaj oprócz szkoleń technologicznych (nie tylko Micorosoft, ale np. również VMware) można znaleźć szkolenia dotyczące zarządzania projektami, kierowania zespołami, cyberbezpieczeństwa. Kilka dni temu uzyskałem dostęp do tego portalu i dopiero zacząłem poznawać jego zasoby.

 Jak widać wybór duży, więc nie mamy wymówek, że się nie da, bo nie mamy gdzie się szkolić. Jeżeli brakuje nam szkoleń bezpłatnych, to można sięgnąć po te płatne (chociażby w wersji trial), żeby sprawdzić, czy są tam szukane przez nas treści.

21 września 2017

Wrześniowe poprawki do Exchange

Microsoft opublikował poprawki do Exchange 2016 i 2013. Warto zauważyć, że do starszych wersji Exchange poprawek już nie ma. Poza uwzględnieniem kilku poprawek funkcjonalnych i bezpieczeństwa (szczegóły w artykułach poniżej), warto zauważyć, że w CU7 zespół produktowy podniósł wymagania na poziom funkcjonalny Active Directory - minimalny wymagany poziom lasu to od dzisiaj Windows Server 2008R2. Druga kwestia to .Net Framework. Wprowadzenie .Net Framework 4.7 tuż przed wydaniem poprzedniej wersji poprawek Exchange wprowadziło niezłe zamieszanie. Ale wrześniowe poprawki tego NIE ZMIENIAJĄ. Zespół produktowy Exchange zapowiedział wsparcie dla wersji 4.7.1 w grudniowych poprawkach, a ze względu na pojawiające się problemy, wersja 4.7 zostanie pominięta. Poniżej linki z pełnym opisem oraz miejscem pobrania poprawek:

04 sierpnia 2017

Problem z nowym klientem Skype for Business

Dobrze mieć aktualną wersję Office, jednak czasem zdarzają się problemy. Ostatnio została wydana paczka poprawek dla Office CTR (czyli aktualizowanego z tenantem Office 365), SFB Client Version 16.0.8326.2052, która niestety po wylogowaniu wyglądała dosyć nieciekawie (pierwszy rysunek).
SfB po wylogowaniu
Rys. 1 Pusty klient SfB
Rys. 2 Ponowne logowanie
































Jedyna możliwość zalogowania to z poziomu pasku statusu prawoklik na ikonie SfB i kliknięcie "Zaloguj" (rysunek 2). Niestety, nie mamy dostępu do opcji zmiany konta, czyli masakra.
Zespół produktowy pracuje na rozwiązaniem problemu i mam nadzieję, że szybko znajdzie rozwiązanie, ale co zrobić jak już mamy problematyczną aktualizację? Odinstalować cały Office? Ponowna instalacja wgra tą samą wersję, więc jedyne wyjście to zmienić kanał dystrybucyjny z jakiego korzystamy (wczesny, normalny, opóźniony). Żeby nie grzebać po ustawieniach globalnych tenanta można zmienić to poprzez GPO, korzystając z ustawień szablonu Office 2016, najszybciej jednak zmienimy konfigurację poprzez klucz w rejestrze.
W tym celu musimy utworzyć klucz (jeżeli go nie mamy) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate i w nim definiujemy wartość updatebranch typu REG_SZ. I podajemy odpowiednią wartość:
  • Insiderfast
  • FirstReleaseCurrent
  • Current
  • Validation
  • Business
Kanałem z najstarszą wersją poprawek jest Business, więc najlepiej użyć tej wartości.
Zmiana kanału aktualizacji poprawek Office
Rys. 3 Wartość klucza zmiany kanału aktualizacji












Teraz wystarczy tylko we właściwościach konta innej aplikacji (np. Outlooka) kliknąć w przycisk aktualizacji poprawek i po chwili nasz Office wgra starszą wersję poprawek.

01 sierpnia 2017

Sprawdzanie konfiguracji serwerów Exchange

Ciekawe skrypty powershellowe przeważnie wrzucam na Twittera. Jednak weryfikacja i kontrola konfiguracji serwerów to temat na tyle istotny, że warto czasem do niego wrócić w nieco szerszym aspekcie. Kiedyś Microsoft udostępniał narzędzie ExBPA - Exchange Best Practices Analyzer, naajpierw dostępny osobno, później dodawany do binariów Exchange. Niestety, Od wersji 2013 w zasadzie narzędzie znikło. Pojawiło się co prawda w formie szczątkowej po wielu miesiącach przerwy, ale tak naprawdę miało za zadanie głównie weryfikację pod kątem integracji środowiska lokalnego z Office365.
Od czego jednak Powershell? Czego nie ma w pakiecie, można dopisać sobie w powershellu, a jeżeli nie potrafimy, lub nie mamy czasu, to możemy gotowego skryptu poszukać w internecie. Nieocenionym źródłem jest Technet Gallery, gdzie jest ponad 1000 skryptów dla Exchange i wiele więcej dla innych obszarów technologii Microsoft. Sam opublikowałem tam kilka skryptów, ale bardzo często korzystam z narzędzi stworzonych przez Steve'a Goodmana, Paula Cunninghama czy Ingo Gegenwartha. Inni specjaliści, jak np. Pat Richard publikują skrypty na swoim blogu, jednak ostatnio coraz więcej ciekawych narzędzi można znaleźć na githubie. Tam też wczoraj znalazłem bardzo pożyteczny skrypt Davida Paulsona o nazwie HealthChecker. Sprawdza on podstawowe parametry hosta, nie zawsze oczywiste (jak np. włączony hyperthreating, którego zespół produktowy nie zaleca ze względów wydajnościowych). Na platformach wirtualnych część opcji nie ma zastosowania, ale nawet wtedy możemy sprawdzić np. ustawienia pliku wymiany, planu zasilania czy zainstalowanie niestandardowych poprawek dotyczących wydajności, jak pokazuje poniższy rysunek. Zdecydowanie polecam.
healthchecker.ps1 results

28 czerwca 2017

Czerwcowe poprawki do Exchange

Ostatniej nocy Microsoft oficjalnie wydał nowe paczki poprawek do Exchange 2016 i 2013:


Niestety, dla dla nowych pakietów nie została zweryfikowana kompatybilność z .NEt Framework 4.7, tak że nadal w mocy pozostaje ostrzeżenie przed instalacją tej wersji. Pisałem o tym niedawno i jak widać zespół Exchange nie zdążył jeszcze zakończyć testów weryfikacyjnych.
Co zatem znajdziemy w aktualizacji? Co prawda paczka CU 17 dla Exchange 2013 zawiera głównie hotfixy do zlokalizowanych ostatnio problemów, to w paczce CU6 dla Exchange 2016 zespół zawarł dwa ciekawe rozszerzenia, z których pierwsz od pewnego czasu było dostępne w wersji Exchange Online - Sent Items Behavior Control oraz Original Folder Item Recovery. Zespół produktowy kończy również prace dopasowujące serwery Exchange do pełnej obsługi TLS 1.2, który formalnie ma w najnowszej paczce poprawek rozszerzone wsparcie, jednak koledzy z Redmond nie zachęcają na razie do wyłączenia starszych wersji TLS 1.0 i 1.1. Jeszcze trochę czasu potrzeba, zwłaszcza w kontekście nowej wersji Frameworka.
Oczywiście należy pamiętać, zwłaszcza w środowiskach hybrydowych o aktualizacji Exchange, co ważniejsze również należy aktualizować Framework, o czym pisałem trzy miesiące temu - przypomnę, że mając wersję starszą niż CU15 musimy zainstalować ją w pierwszej kolejności, gdyż nie są kompatybilne z .NetFramework 4.6.2, wymaganym do instalacji nowszych paczek CU.
Tym razem Microsoft nie wydał już aktualizacji do starszych wersji Exchange - grono potencjalnych testerów skurczyło się drastycznie.
Więcej informacji można znaleźć na blogu zespołu produktowego.

24 czerwca 2017

Dziwny problem z Receive Connectorem - MSExchangeTransport error 1040

Kilka dni temu poproszono mnie o zdiagnozowanie problemu z pojawiającymi się na Exchange 2013 błędami transportowymi 1040 dotyczącymi kilku receive connectorów na różnych serwerach.



















Weryfikacji logów i kolejek transporotwych, okazało się że problem (a właściwie fałszywy alarm) wywołuje wprowadzony w CU9 nowy agent transportowy, mający usprawnić proces odpytywania skrzynek testowych (HealthMailbox), tworzonych dla wszystkich baz danych w ramach Managed Availability.










Agent o nazwie System Probe Drop SMTP Agent wymusza dostarczanie maili testowych do Health Mailboxów z pominięciem kolejek transportowych, ale czyni to nieco "brutalnie", kasując odbiorców maila, co powoduje powstawanie w tracking logach zdarzeń typu FAIL.












Momentami, gdy takich zdarzeń jest dużo, jest to wykrywane przez system i zgłaszane jako błąd niedostępności kolejki. Dopóki jednak zdarzenia FAIL dotyczą tylko maili zgłaszanych przez agenta dla poszczególnych skrzynek testowych, nie ma się czym martwić.
Chociaż agent pojawił się w CU9, a za chwilę zostanie wydany CU17, to błędy 1040 nadal się zdarzają. Co ciekawe nie zauważyłem ich na serwerach Exchange 2016, na których również ten agent jest zaimplementowany.
Informacje o takich problemach można znaleźć na blogach wielu specjalistów, np. tutaj i tutaj.

14 czerwca 2017

.Net Framework = kłopoty

Kolejny raz zespół produktowy .Net Framework odtrąbił sukces związany z wprowadzeniem nowej wersji .Net Framework 4.7. Jednak jak pisałem już kilkukrotnie zespoły produktowe Exchange i Skype for Business, nie od razu obsługują najnowsze wersje Frameworka. Chociaż kolejna wersja Cumulative Update jeszcze nie jest gotowa, to nie jest pewne, że będzie ona zapewniała zgodność z tą wersją - dopiero ostatnie poprawki wspierają .Net Framework 4.6.2, a doświadczenie uczy, że przedwczesna aktualizacja .Net Framework (zwłaszcza na serwerach Exchange) może spowodować duże problemy dla administratorów. Zespół produktowy Exchange zaleca tymczasowe zablokowanie instalacji wersji 4.7 oraz przedstawia procedurę naprawczą, co zrobić, gdy już taką instalację popełniliśmy.
Generalnie powinniśmy na wszelki wypadek dodać klucz typu DWORD do rejestru:
HKLM:\Software\Microsoft\NET Framework Setup\NDP\WU\BlockNetFramework47 = 1
Jeżeli nie jesteśmy pewni, czy przypadkiem nie dokonaliśmy aktualizacji Frameworka, możemy użyć skryptu get-dotnetversion.ps1 Michela de Rooij, żeby sprawdzić jaką wersję mamy zainstalowaną. Jak widać na jednym z serwerów dodałem już powyższy klucz do rejestru.

Przy okazji warto zauważyć, że coraz bardziej krytyczne staje się czuwanie nad aktualizacjami Exchange - Microsoft publikuje tylko dwie ostatnie wersje, a patrząc na tablicę zgodności Exchange z wersjami .NEt Frameworka, może okazać się, że aktualizacja starszych wersji Exchange może okazać się bardzo trudna, ze względu na brak źródeł - żeby zainstalować najnowszy CU musimy zaktualizować Frameworka do wersji 4.6.2 (weryfikacja na poziomie setupu), który z kolei jest niekompatybilny np. z Exchange 2013 CU13 i starszymi.

13 czerwca 2017

Office Servers Summit 2017

Już w najbliższy poniedziałek - 19 czerwca organizuję konferencję Ofice Server Summit 2017. Podobnie jak w zeszłym roku konferencja dotyczy ciekawych i nowych funkcjonalności w produktach serwerowych rodziny Office 2016. Zmian jest tak dużo, że organizowane w tym roku konferencje nawet nie wymagają przy zgłoszeniach prelegentów precyzyjnych tematów sesji, bo po kilku miesiącach funkcjonalności publikowane w Office 365 zmieniają się znacząco i trudno przewidzieć, co będzie "na topie" za kilka miesięcy. Ze względu na ilość pomysłów konferencja będzie odbywała się w dwóch równoległych ścieżkach. Więcej informacji na stronie konferencji:
Office Servers Summit 2017


Termin konferencji może nie jest najszczęśliwszy - dosłownie 2-3 tygodnie temu Microsoft ogłosił spotkanie z cyklu Build Tour w Warszawie w tym samym dniu, ale czasu do wakacji mało więc nie bardzo można było przełożyć. Udało się namówić kilku Microsoft MVP oraz znanych specjalistów wdrażających technologie Office na co dzień do podzielenia się doświadczeniami, więc na pewno słuchacze nie będą zawiedzeni.

29 maja 2017

Skype for Business CU5

Chociaż minęło już kilka dni od daty wydania, to warto wspomnieć o wydanym w maju kolejnym pakiecie Cumulative Update - tym razem CU5, który można pobrać ze strony Microsoft.
Chyba najbardziej oczekiwaną zmianą miało być wsparcie dla Windows Server 2016, jednak zmiana ta finalnie nie pojawiła się w tej aktualizacji. Szczegółowa lista została wyszczególniona w artykule o poprawkach i zmianach funkcjonalnych w majowej aktualizacji. Mniej formalna informacja o publikacji pakietu CU5 pojawiła się na portalu TechCommunity. Tam też można znaleźć informację, wyjaśniającą, że na wsparcie dla Windows Server 2016 trzeba jeszcze trochę poczekać. Poprawiona została za to obsługa Location Based Routing, tak że oficjalnie dostępne jest wsparcie dla urządzeń mobilnych (nieśmiało wprowadzane od CU4). Usunięto również kilka problemów z usługami głosowymi, migracją Meeting Roomu do chmury oraz parowaniem pool. Ciekawą funkcjonalnością jest specjalna aplikacja Skype Meeting App, do udziału w spotkaniach dla klientów zewnętrznych, która może zastąpić klienta webowego. Ciekawy artykuł o nowym kliencie napisał Tom Arbuthnot.

23 maja 2017

Nowe metody zabezpieczenia poczty - DANE i STS

Jakiś czas temu pisałem na blogu o metodach zabezpieczania poczty, takich jak DKIM oraz DMARC. Tylko część firm z nich korzysta, ale ponieważ spamerzy i różnego rodzaju włamywacze wymyślają nowe rodzaje ataków i metody podszycia się pod zaprzyjaźnionego nadawcę, więc dostawcy usług pocztowych próbują wprowadzić nowe metody zabezpieczeń. Tym razem chciałem przyjrzeć się dwóm takim pomysłom - SMTP STS (Strict Transport Security) oraz DANE (The DNS-based Authentication of Named Entities).
Obie te metody próbują zaadresować jedną z ułomności SMTP, związaną z szyfrowaniem transmisji poprzez TLS. W trakcie zestawiania sesji SMTP serwery mogą włączyć szyfrowanie TLS, poprzez użycie komendy STARTTLS.

Niestety w żaden sposób nie jest weryfikowana tożsamość serwera - jeżeli ktoś podmieni w DNS adres IP serwera i przedstawi się on odpowiednią nazwą, to sesja TLS będzie zestawiona i taki fałszywy serwer może następnie zestawić w analogiczny sposób połączenie z naszym rzeczywistym serwerem, przeglądając wszystkie wiadomości, pomimo tego, że transmisja jest szyfrowana (tzw. atak man in the middle).
Jak temu zapobiec? DKIM (przypomnę, że jest to metoda na podpisywanie maili wychodzących certyfikatem, którego klucz publiczny publikowany jest w rekordzie tekstowym naszej domeny) wykorzystuje DNS do potwierdzenia poprawności używanego przez nasz serwer certyfikatu. Podobnie działa DANE - to metoda na weryfikację poprawności certyfikatu, użytego do zaszyfrowania połączenia TLS poprzez publikację w DNS. Metoda ta zadziała poprawnie zarówno dla certyfikatów z urzędów komercyjnych, naszych wewnętrznych urzędów CA jak i dla certyfikatów typu SelfSign. Niestety w tej metodzie jest jeden problem - chociaż DANE jest już opisana w dokumentach RFC, to wymaga nowego typu rekordu DNS - TLSA (Transport Layer Security Authentication). Jeżeli spojrzymy na platformę Windows, to jest on dostępny tylko w Windows Server 2016. Ponadto strefa DNS musi być zabezpieczona (DNSSEC). Mając certyfikat, który chcemy wykorzystać do zabezpieczenia poprzez DANE, musimy wygenerować odpowiedni rekord TLSA, zawierający hash naszego certyfikatu. Możemy to zrobić z narzędzia powiązanego z naszym DNS:

ldns-dane -4 create pepug.org 25 _25._tcp.pepug.org. 3600 IN TLSA 3 0 1 f32249d9c9bd8fa245dafc722c55f5087c3b2b8c236d194ebc912f30be20af5

Możemy również użyć narzędzia webowego, żeby sobi pomóc przy składni - https://www.huque.com/bin/gen_tlsa Pojawiło się również sporo stron, które pozwalają nam zweryfikować czy nasz rekord jest poprawnie opublikowany - np. https://check.sidnlabs.nl/dane/ lub http://tlsa.info. Często popełniane przy konfiguracji błędy można znaleźć na tej stronie - https://dane.sys4.de/common_mistakes. Polecam również prezentację na temat DANE - https://www.menandmice.com/resources/webinar-dnssec-and-dane-e-mail-security/.
Exchange nie potrafi korzystać z takiego mechanizmu (choć są dostępne narzędzia, które na to pozwalają - np. CryptoFilter for Exchange), nie ma go jeszcze również większość bramek antyspamowych, ale duzi dostawcy usług pocztowych już wprowadzają tego typu mechanizmy. Oczywiście mechanizm DANE, lub jak niektórzy piszą TLSA, może być również dodatkową weryfikacją serwera webowego zabezpieczonego TLS. Co ciekawe, na rynkku niemiecki ponad połowa dostawców usług pocztowych używa już DANE, a w Danii jest to wymóg do komunikacji dla agencji rządowych. W Polsce na razie jeszcze nie jest on tak popularny.
Inną metodą na wyeliminowanie zagrożeń przy TLS może być SMTP STS (Strict Transport Security), który jest jak na razie na etapie draftu, ale wszystko wskazuje na to, że niebawem szerzej wejdzie do użytku. STS omija cześć niedogodności jakie niesie DANE (użycie nowego typu rekordu DNS), a rekord DNS typu TXT z standardową nazwą _mta-sts jest uzupełniony przez dokument JSON, publikowany przez zabezpieczony TLS-em  serwer webowy. Czyli zabezpieczenia naszej domeny opisane są przez rekord DNS:
_mta-sts.pepug.org   900  IN   TXT  "v=STSv1; id=20170523"
gdzie STSv1 oznacza wersję (oczywiście jest wersja 1) oraz numer polisy zabezpieczeń. Plik json z kolei publikowany będzie poprzez url
https://mta-sts.pepug.org/.well-known/mta-sts.json
W nazwie hosta nie może być znaku _, więc mamy tu drobną różnicę (oczywiście rekord A lub C z nazwą mta-sts wskazującą na serwer webowy publikujący JSON-a musi znaleźć się w strefie naszej domeny). Dodatkowym wymogiem jest zabezpieczenie serwera webowego certyfikatem wydanym przez publiczny urząd certyfikacyjny.
Zasada działania jest prosta - normalnie wysyłając pocztę, nasz serwer pocztowy, czy mówiąc bardziej technicznie MTA, odpytuje DNS o serwer pocztowy wymieniony w rekordzie MX domeny adresata. W przypadku STS nasz MTA odpytuje DNS o rekord TXT, na podstawie którego pobiera kanałem szyfrowanym plik JSON z informacją o polisie i rekordzie MX. Dopiero po uzyskaniu tej informacji mail wysyłany jest do zweryfikowanego serwera pocztowego adresata poprzez kanał TLS. 

04 kwietnia 2017

Koniec planu E4 usługi Office 365

7 kwietnia Microsoft oficjalnie wygasza plan E4 w usłudze Office 365. Wydano oficjalny dokument opisujący możliwości wyboru dla klientów, którzy chcą odnowić subskrypcję -  Office 365 Enterprise E4 EOL Retirement Guide.

27 marca 2017

Odchudzanie kolejki transportowej na Exchange

Od czasu do czasu dostaję pytanie na temat możliwości zmniejszenia pliku kolejki transportowej Exchange, lub po prostu pytanie, dlaczego ten plik jest taki duży? Faktycznie, może się on rozrosnąć do kilkudziesięciu, a nawet ponad 100 GB, jednak bywa to przeważnie łatwe do wytłumaczenia. Plik mail.que, czyli właśnie kolejka transportowa serwera Exchange to baza w formacie Extensible Storage Engine (ESE), podobna do baz skrzynkowych, usługi katalogowej AD, czy też innych usług systemu Windows. Bazy te niestety w odróżnieniu od SQL nie mają mechanizmu "odchudzania" w przypadku zwolnienia wolnej przestrzeni wewnątrz bazy. W bazie tworzone są kolejki dla maili generowanych na bieżąco (jeżeli w organizacji ktoś wysyła duże ilości maili wewnętrznych, to może przekładać się na dużą wielkość pliku), przechowywane są również maile na wypadek awarii i konieczności ich odtworzenia - tzw. Safety Net. Safety Net przechowuje maile już dostarczone do baz danych i po okresie ich przechowywania (domyślnie dwa dni) je kasuje. Jeżeli zwiększymy ten okres, to oczywiście wielkość bazy danych wzrośnie, w zależności od zwiększenia okresu przechowywania i ilości przetwarzanych maili. Można to bardzo prosto zweryfikować komendą:
Get-TransportConfig | select SafetyNetHoldTime
Domyślnie system zwróci wartość "2.00:00:00", czyli dwa dni. Żeby zmniejszyć okres przechowywania maili w kolejce wystarczy wykonać komendę:
Set-TransportConfig -SafetyNetHoldTime 2.00:00:00
Oczywiście możemy użyć innej, wygodnej dla nas wartości.
Jeżeli serwer należy do DAG, to dodatkowo domyślnie włączona jest funkcja Shadow Redundancy, dla której również są zdefiniowane okresy przechowywania maili w replikach kolejek. Parametry związane z Shadow Redundancy również możemy zmienić, korzystając z tego samego polecenia Set-TransportConfig.
Co można zatem zrobić, jeżeli boimy się, że kolejka przepełni nam dysk? Zasadniczo opcje są dwie - przeniesienie kolejki transportowej na dysk z większą ilością wolnego miejsca, albo wymuszenie odtworzenia pustej bazy. W tym drugim wypadku procedura jest bardzo prosta:
  1. Sprawdzamy, czy kolejki na serwerze są puste - w tym celu najprościej zawiesić usługę transprtową komendą suspend-service msExchangeTransport, a następnie sprawdzić ilość maili w kolejkach komendą get-queue.
  2. Jeżeli są puste, to zatrzymujemy usługę transportową - stop-service msExchangeTransport.
  3. Przenosimy całą zawartość katalogu Queue (domyślna ścieżka C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue) do lokalizacji tymczasowej.
  4. Uruchamiamy usługę transportową - start-service msExchangeTransport.
  5. Po uruchomieniu usługi i utworzeniu pustych plików możemy stare pliki skasować z tymczasowej lokalizacji.
Oczywiście opcja druga usunie Safety Net i Shadow Queues również.

21 marca 2017

Marcowe poprawki dla Exchange

Kończy się kwartał, więc najwyższa pora na publikację pakietów aktualizacji dla Exchange. W tym miesiącu Microsoft udostępnia ostatni pakiet poprawek dla Exchange 2007 (wsparcie ostatecznie kończy się za kilkanaście dni). Pakiety dla nowszych wersji w większości poprawiają błędy znalezione przez ostatnie miesiące. Warto pamiętać, że CU5 dla Exchange 2016 i CU16 dla Exchange 2013 wymagają do instalacji .NetFrameworka 4.6.2, co wymusza w firmach, które nie zaktualizowały Exchange do grudniowych poprawek konieczność instalacji dwuetapowej - najpierw Exchange 2016 CU4, potem aktualizacja Fraweworka, potem dopiero CU5. Analogicznie w wersji Exchange 2013 - najpierw CU15, Framework, potem CU16.
Poniżej przedstawiam listę pakietów aktualizacji, artykuły KB opisujące zmiany oraz linki do stron z paczkami instalacyjnymi:

15 marca 2017

Microsoft Teams dla wszystkich

Jedną z funkcjonalności Skype for Business, których Microsoft nie zaimplementował w wersji Online usługi komunikacyjnej jest Persistent Chat, czyli funkcjonalność tablic ogłoszeniowych/grup dyskusyjnych działających od dłuższego czasu (wcześniej pod nazwą Group Chat). Pisałem o tej usłudze całkiem niedawno. Teraz w końcu Microsoft uzupełnia ten brak.
Na początku listopada Microsoft udostępnił wszystkim klientom Office 365 usługę o nazwie Microsoft Teams, w marcu osiągnęła ona status GA, a wczoraj odbyła się oficjalna premiera produktu. W ostatnich miesiącach trwały intensywne testy Teamsów i dyskusje, porównujące funkcjonalności nowej aplikacji z innymi dostępnymi na rynku produktami tego typu, jak np. Slack czy HipChat, a nawet Microsoftowy Yammer. Ponieważ Slacka używam sporadycznie w wersji bezpłatnej (bez obsługi rozmów), a innych produktów nie powiązanych z Microsoft wcale, więc nie chciałem się do tej dyskusji przyłączać. Jak na razie widzę duże plusy Teamsów, takie jak integracja z komponentami Office 365  - współdzielenie dokumentów poprzez Sharepoint Online i OneDrive for Business, rozmowy poprzez Skype for Business czy kalendarz synchronizowany z Exchange Online. Teamsy wykorzystują tworzone w ramach naszego Tenanta O365 zespoły, które tak naprawdę są Grupami Office, co daje nam możliwość używania np. konektorów, integrujących różne aplikacje zewnętrzne, możemy również wysyłać maile na adres kanału dyskusji naszego zespołu. Na stronie pomocy można znaleźć mnóstwo przydatnych informacji, jak korzystać z Microsoft Teams. Na YouTube pojawiło się również sporo filmów, pokazujących możliwości i funkcjonowanie Teamsów:

Minusami jak na razie są przede wszystkim pewne zamieszanie funkcjonalne - jaką aplikację do poszczególnych zadań będziemy używać (czy korzystać z Yammera, Grup czy Teams), oraz brak możliwości dodawania do zespołów Teamsowych osób spoza konkretnego tenanta Office 365. W modelach hybrydowych  również część funkcjonalności jest niedostępna dla osób ze skrzynkami on-premises. Ale to dopiero premiera i na pewno w kolejnych miesiącach kolejne funkcje, których potrzebę zgłaszają użytkownicy zostaną dodane. Na pewno w tym roku będzie trwała bardzo ostra walka komunikatorów i systemów do pracy grupowej.

Dziura w zabezpieczeniach Exchange

Wczoraj zespół produktowy Microsoft wydał biuletyn bezpieczeństwa,  https://technet.microsoft.com/library/security/MS17-015, dostępny również  na stronie pomocy technicznej, w nieco bardziejj rozwiniętej formie - https://support.microsoft.com/en-us/help/4013242/ms17-015-security-update-for-microsoft-exchange-server-march-14-2017, opisujący dziurę w systemach zabezpieczeń interface'u OWA, która pozwala na eskalację uprawnień.
Microsoft Server Software
Updates Replaced*
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Podobne problemy dotyczą nie tylko Exchange, ale również innych aplikacji (przeglądarek, Hyper-V). W stosunku jednak do Exchange zagrożenie nie jest aż tak poważne jak można by podejrzewać. Najnowsze paczki zabezpieczeń CU15 dla Exchange 2013 i CU4 dla Exchange 2016 są bezpieczne, a lada moment możemy spodziewać się kolejnych aktualizacji (minął już kwartał od poprzedniej partii), które również zawierać będą poprawki łatające powyższą dziurę. Dlatego też warto aktualizować serwery Exchange na bieżąco, chociaż czasem wymaga to nieco czasu i cierpliwości.

08 marca 2017

Aktualizacje Skype for Business - małe podsumowanie

Polityka aktualizacji systemu Exchange Server, zarówno 2013 jak i 2016, jest stosunkowo prosta - raz na kwartał wydawany jest pakiet Cummulative Update, co zostało dokładnie opisane na blogu zespołu produktowego i w dokumentacji. Od czasu do czasu, jeżeli zajdzie taka potrzeba wydawana jest poprawka bezpieczeństwa i to wszystko. Jasno, prosto i czytelnie.
W przypadku Skype for Business wydawało się że wszystko jest podobnie, jednak zespół produktowy od dawna określa pakiety poprawek miesiącem wydania, nie są one również wydawane regularnie, więc sam się trochę zgubiłem. Kiedy w lutym pojawiła się kolejna paczka aktualizacji, zastanawiałem się, czy zawiera ona wsparcie dla Windows Server 2016, zgodnie z zapowiedziami grupy produktowej:
Windows Server 2016 is not included in this list right now, but we're planning to add it as a supported option after Skype for Business Server Cumulative Update 5 is released
Jednak po dokładniejszej weryfikacji okazało się, że poprawka February 2017 jeszcze nie jest zapowiedzianym Cummulative Update 5. Przy okazji zweryfikowałem nazewnictwo poprawek dla Skype for Business, które pokazuje poniższa lista.
Wersja
Nazwa pakietu Cumulative Update
Artykuł KB
Numer CU/HotFix
6.0.9319.277
February 2017
CU4 HF1
6.0.9319.272
November 2016
CU4
6.0.9319.259
June 2016
CU3
6.0.9319.235
March 2016
CU2
6.0.9319.102
November 2015
CU1
6.0.9319.88
September 2015
HF2
6.0.9319.55
June 2015
HF1
6.0.9319.0
RTM
NA
RTM

23 lutego 2017

Exchange 2007 - zegar tyka

Już za półtora miesiąca kończy się całkowicie wsparcie techniczne na Exchange 2007. Co to oznacza dla firm, które jeszcze używają tej wersji systemu? Przede wszystkim brak wsparcia dla problemów technicznych, które mogą pojawić się w związku np. z nową poprawką bezpieczeństwa do systemu operacyjnego. Ponadto brak będzie również łatek na nowo wykryte dziury z punktu widzenia bezpieczeństwa. Inną kwestią (chociaż dla Polski nie jest to krytyczne) są aktualizacje związane z modyfikacjami stref czasowych. Jeszcze inną kwestią, o której może głośno się nie mówi jest brak specjalistów w serwisie od starych wersji systemów, co również utrudnia rozwiązywanie ewentualnych problemów.
Można zmigrować się do nowszych wersji systemu (chociaż do Exchange 2016 migracja bezpośrednia nie jest możliwa) lub do Exchange Online i dobrze jest taką migrację zaplanować jak najszybciej, jeżeli jeszcze jej nie uwzględniliście w swoich planach.
Analogicznie Microsoft kolejno wycofuje kolejne wersje produktów z linii Office 2007:
Wersja serwera
Koniec Wsparcia
Dodatkowe informacje
Exchange Server 2007
11 kwietnia 2017
SharePoint Server 2007
10 października 2017
Project Server 2007
10 października 2017
Office Communications Server 2007
8 stycznia 2018
PerformancePoint Server 2007 Service Pack 3
9 stycznia 2018
O ich aktualizacji również warto pomysleć jak najszybciej.
W ramach portalu Techcommunity, Microsoft przygotował dedykowaną witrynę Office Retirenment, poświęconą zagadnieniom dotyczącym systemów Office wycofywanych z eksploatacji - fora dyskusyjne, odnośniki do narzędzi migracyjnych, dokumentacji, itp. Warto tu zajrzeć, żeby lepiej i bezpieczniej przeprowadzić proces migracji.