17 sierpnia 2018

Lipcowa paczka aktualizacji Skype for Business - CU7

Dobra wiadomość czekała na mnie po urlopie - Microsoft dwa tygodnie temu w końcu udostępnił publicznie paczkę aktualizacji Cummulative Update 7 dla serwera Skype for  Business. Wprowadza ona rozwiązanie dla wielu problemów zgłoszonych w ostatnich miesiącach, a co ważniejsze wprowadza długo oczekiwane wsparcie dla serwera BackEnd w wersji SQL 2016 SP1. Jest to niezwykle istotne dla firm rozważających wdrożenie Skype for Business 2019, ponieważ dla roli BackEnd nie wspiera on starszych wersji SQL niż 2016 (oczywiście jeżeli firma w ramach Software Assurance aktualizuje platformę bazodanową, jest to również ważna informacja). 
Instalacja lipcowych poprawek wymaga wersji .Net Framework 4.5.2 (podobnie jak wersja marcowa), co może być istotne dla tych, którzy w tym roku nie aktualizowali systemu.
Więcej informacji na temat usuwanych przez pakiet błędów można znaleźć w artykule KB 3061064. Instalator poprawek znajduje się tutaj - http://www.microsoft.com/en-us/download/details.aspx?id=47690.
Microsoft donosi, że nie należy instalować tej aktualizacji jeżeli serwery Skype for Business korzystają z SQL 2008R2 (który zresztą jest już nieco leciwy), ponieważ pojawiają się problemy w dostępie do bazy rtcxds.
Przeszło rok temu publikowałem posta z informacjami o oznaczeniach poszczególnych aktualizacji. Znajdująca się w nim tabela z listą poprawek została zaktualizowana o pakiet CU7.

17 lipca 2018

Zarządzanie telefonami z Androidem po nowemu

Zarządzanie smartfonami w firmie to złożony problem. Zwłaszcza dla niedużej firmy w takim kraju jak Polska. Większość takich firm nie ma budżetu na zakup dużych partii markowych telefonów "z górnej półki", które mają wbudowane komponenty pozwalające na nadzorowany zarządzanie i scentralizowane wdrożenie jak iPhone czy Samsung.
Całkiem niedawno Google przygotował dla nowej wersji Androida - 8.0 (Oreo) nową funkcjonalność - Zero-Touch Deployment. Wygląda to bardzo interesująco, dla telefonów Pixel działa nawet z Androidem w wersji 7, jednak znowu diabeł tkwi w szczegółach. Żeby móc skorzystać z tej funkcjonalności, po pierwsze należy kupić odpowiedni model telefonu - tu na szczęście mamy całkiem spory wybór producentów i modeli - https://www.android.com/enterprise/device-collection/#Zero-touch.  Począwszy od wymienionych już Pixeli, na liście są również LGE, Huawei, Motorola, Nokia, Sharp i Sony. Co ważniejsze, telefon musi być dostarczony poprzez jednego z partnerów programu Zero-touch, a nie kupiony w zwykłym sklepie. Przy zakupie pierwszego telefonu, autoryzowany partner (operator lub sprzedawca z powyższej listy) rejestruje konto zarządzające dla naszej firmy, które służy administratorowi do konfigurowania polis i dodawania kolejnych urządzeń na portalu wdrożeniowym Zero-Touch. Następnie poprzez użycie naszego systemu zarządzania urządzeniami mobilnymi (lista producentów systemów EMM, obsługujących Zero-Touch, znajduje się na stronie partnerów programu Zero-Touch). niedawno również zespół produktowy Microsoft Intune ogłosił, że wspiera zero-touch deployment, więc firmy posiadające EM+S lub Microsoft 365 również będą mogły skorzystać z tej metody uproszczonego wdrożenia.
Warto pamiętać, że w przypadku ręcznego zainstalowania na telefonie portalu Intune, które powinno na większości urządzeń z Androidem w wersjach 7 lub 8 utworzyć profil firmowy, użytkownik może sobie taki profil usunąć, blokując możliwość centralnego zarządzania telefonem. Zero-touch deployment, podobnie jak np. Device Enrollment Program firmy Apple czy włączone funkcjonalności Samsung Knox uniemożliwiają standardowemu użytkownikowi zdjęcie funkcji zarządzających z firmowego telefonu.

16 lipca 2018

Kolejna wersja .Net Framework - kolejny problem

Zespół produktowy .Net Framework udostępnił jako rekomendowaną poprawkę .Net Framework 4.7.2, jednak nie jest ona wspierana z Exchange Server, nawet dla najnowszych, czerwcowych aktualizacji - zawsze warto sprawdzić tabelę support matrix. Już na forach webowych pojawiają się informacje o problemach związanych z instalacją tej wersji na serwerach Exchange, dlatego też radzę zablokować instalację tej wersji na serwerach Exchange, poprzez dodanie odpowiedniego klucza do rejestru. Można ręcznie dodać klucz, albo zaimportować poniższy plik:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\WU]
"BlockNetFramework472"=dword:00000001


11 lipca 2018

Nowa aktualizacja dla Lync Server 2013

Zdecydowana większość użytkowników systemu Lync Server 2013 zmigrowała się do Skype for Business 2015, jednak tych, którzy jeszcze używają wersji 2013 ucieszy pakiet poprawek CU10, który usuwa sporo błędów (szczegółowa lista poprawek i sposób instalacji znajdują się w artykule pomocy technicznej), a co równie ważne, zapewnia wsparcie dla TLS 1.2, co zostało wspomniane w oddzielnym artykule KB. zgodnie z polityką wygaszania starszych wersji protokołu TLS 1.0 i 1.1. Zostało to opisane w serii artykułów na blogu zespołu produktowego - Disabling TLS 1.0 and 1.1 in Skype for Business Server 2015 On-Premises:
Po instalacji lipcowego pakietu CU10, analogicznie można postąpić z serwerami Lync 2013. JEst to szczególnie istotne w środowiskach hybrydowych, ze względu na wyłączenie starszych wersji TLS w Office 365 i pozostawienie tylko TLS 1.2 już za kilka miesięcy.

Paczkę CU10 można pobrać z poniższego linku:

19 czerwca 2018

Czerwcowe aktualizacje do Exchange

Dzisiaj Microsoft opublikował aktualizacje dla serwerów Exchange. Ponieważ Exchange 2013 od kwietnia wszedł w okres rozszerzonego wsparcia, o czym pisałem kilka miesięcy temu, CU21 jest ostatnią regularną aktualizacją dla tej wersji systemu, przynajmniej dopóki Microsoft nie zmieni zdania. Rollup Update 22 dla Exchange 2010 rozwiązuje problem współpracy z Exchange 2016 oraz zapewnia zgodność z kontrolerami domeny Windows 2016.
Nowe poprawki dodają również wymagania dla serwerów Exchange 2013 i 2016 - do instalacji niezbędny jest .Net Framework w wersji 4.7.1. Dodatkowo wymagany jest pakiet VC++ 2013 , który zapewnia poprawną pracę komponentów dodatkowych, takich jak WebReady Document Viewing.
Poniżej lista odnośników, skąd można pobrać artykuły KB dla odpowiednich poprawek oraz wersje instalacyjne pakietów:

01 czerwca 2018

IPS w Kemp Load Master

Niedawno miałem przyjemność prowadzić webinarium na temat użycia urządzeń Kemp LoadMaster do ochrony do dostępu do poczty w zastępstwie Forefront TMG 2010. Jako uzupełnienie prezentacji chciałem napisać kilka słów o prostej ale potrzebnej funkcjonalności, jaką jest wykrywanie ataków (IPS). Po zmianach w licencjonowaniu, jakie zaszły w kwietniu zeszłego roku, zarówno funkcje bezpiecznej publikacji (Edge Security Pack - ECP) jak i IPS są dostępne w subskrypcji Enterprise. O ile jednak funkcjonalność ECP jest często opisywana na różnych blogach i prezentacjach to IPS jest przeważnie tylko wspominany hasłowo - jest i koniec. Ale czy to faktycznie takie proste? Jeżeli na naszym LoadMasterze, który publikuje witryny w Internecie zajrzymy do logu systemowego, to możemy zauważyć np. zapisy dotyczące atak XSS, jak widać na poniższym rysunku.



Oznacza to, że IPS działa i reaguje na ataki poprawnie. Ale jak go skonfigurować i czy jest to w ogóle możliwe?
Jak najbardziej jest, chociaż w ograniczonym zakresie. Możemy ręcznie zmieniać sposób reagowania - począwszy od samego logowania ataków, aż do odrzucania wszystkich zagrożeń. Wszystkie cztery tryby pracy są nieco dokładniej opisane w dokumentacji, jednak same nazwy jak dla mnie są wystarczająco intuicyjne.





















Ponadto możemy ręcznie aktualizować reguły, używane do wykrywania ataków, pobierając nowe wersje pakietu z regułami wykrywania ze strony SNORT. Load Master obsługuje paczki reguł w wersji zgodnej ze specyfikacją SNORT 2.9. Są one dostępne w pakiecie community-rules.tar.gz na stronie SNORT. Możemy pakiet pobrać i załadować (nie wymaga restartu i automatycznie jest replikowana między urządzeniami w trybie HA). Lepiej jednak wyedytować wcześniej listę reguł i aktywować wybrane z nich, zgodnie z potrzebami organizacji. W tym celu należy z pobranego archiwum community-rules.tar.gz otworzyć odpowiedni plik. W archiwum znajdują się pliki:
  • community.rules
  • AUTHORS
  • LICENSE
  • sid-msg.map
  • VRT-License.txt
W pliku comunity.rules znajdują się reguły, jak pokazuje kolejny rysunek.









Reguły blokujemy umieszczając znak # na początku wiersza, aktywujemy kasując znak #. Po modyfikacji listy reguł zapisujemy zmodyfikowany plik w archiwum i pobieramy do Load Mastera.

















Urządzenie jest gotowe do ochrony zgodnie ze zmodyfikowaną przez nas listą reguł.

23 maja 2018

Zarządzanie chmurą z Powershell - przygotowanie

Niedawno przygotowywałem krótką prezentację o zarządzaniu Office 365 z poziomu Powerhell. Na moim komputerze jest to proste - odpowiednie moduły instalowałem przez kolejne miesiące, jednak na świeżych komputerach z Windows 10 zauważyłem wiele drobnych problemów.
Dlatego też uznałem, że warto jest zrobić krótkie podsumowanie.
Większość modułów, która jest używana do zarządzania środowiskiem Office 365 lub Azure dostępna jest i aktualizowana w PowerShell Gallery (www.powershellgallery.com). Kiedy jednak chcemy je zainstalować w systemie, pojawiają się błędy. W czym leży problem?
Do instalacji modułów powershell z galerii używany jest moduł PowerShellGet, który w Windows 10 dostarczany jest domyślnie z systemem w ramach PowerShell 5. Niestety dostarczany jest on w wersji 1.0.0.1, jak widać na poniższym obrazku:









Dodatkowo pomocniczy pakiet NuGet również nie jest najnowszy i próba instalacji modułu zwraca komunikat o potrzebie aktualizacji dostawcy. Co powinniśmy zatem zrobić? Wymusić aktualizację obu pakietów, jak pokazują kolejne obrazki. Aktualna wersja pakietu NuGet w momecie pisania artykułu to 2.8.5.208:





W niektórych wypadkach dobrze jest po aktualizacji NuGet zamknąć powłokę, bo nie zawsze odświeżą się zmienne środowiskowe i kolejna próba instalacji znowu stwierdzi, że wersja NuGet jest zbyt stara.
Oczywiście wszystkie instalacje wykonujemy w kontekście administratora.
Teraz czas na aktualizację PoweShellGet. Ponieważ był instalowany z systemem, nie możemy użyć cmdleta update-module, musimy wymusić instalację:


Sprawdzamy rezultat:









Jak widać, jest wersja oryginalna i wersja najnowsza, którą możemy już normalnie aktualizować i domyślnie używać. Możemy również użyć nowych cmdletów zawartych w zaktualizowanym module (np. get-installedmodules). Jednak przy instalacji lub aktualizacji modułów otrzymamy komunikat:







Możemy się go pozbyć w prosty sposób, wykonując komendę jak na kolejnym obrazku:




Teraz już bez problemów możemy przystąpić do zarządzania środowiskiem chmurowym, instalując potrzebne moduły, takie jak MSOnline, AzureAD, AADRM, AzureRM, MicrosoftTeams.

09 maja 2018

Adresy i nazwy niezbędne dla pracy z Office 365

Jednym z częściej pojawiających się problemów przy wdrażaniu Office 365, zwłaszcza przy modelu hybrydowym Exchange i Skype dla Firm, jest odpowiednie skonfigurowanie reguł i wykluczeń na urządzeniach sieciowych, odpowiedzialnych za zabezpieczanie dostępu i publikację usług. Wiąże się to z rozległością usługi Office 365 - bardzo duża liczba adresów IP oraz nazw domenowych hostów, dla kórych administrator sieci powinien ruch przepuścić, tak żeby usługi działały poprawnie (w przypadku hybrydy Exchange jest to szczególnie ważne w odniesieniu do usług SMTP i autodiscover).
Żeby taką procedurę ułatwić, Microsoft opublikował i stale aktualizuje na stronach pomocy technicznej odpowiednią specyfikację - Office 365 URLs and IP address ranges (łatwiej zapamiętać skrót - http://aka.ms/o365ip). Lista ta jest również dostępna w postaci arkusza csv oraz pliku xml, Mozna również znaleźć w internecie narzędzia społecznościowe, które konwertują takie pliki do formatu łatwo przyswajanego przez firewalle, jak np. Azure Range.
Jednak dla uproszczenia aktualizacji konfiguracji już niebawem Microsoft udostępni usługę w formie web service'u, która będzie pozwalała na pobieranie listy w sposób automatyczny z użyciem REST w formatach JSON i csv. Wtedy dotychczasowy sposób publikacji informacji zostanie zatrzymany.
Żeby zacząć testować usługę i przeczytać więcej informacji, w jaki sposób pobierać dane, dobrze jest zajrzeć na stronę Zarządzanie punktami końcowymi usługi Office 365 - zakładka nr 4, gdzie podane są nawet przykłady użycia - np. pobranie nazw i adresów IP punktów końcowych dla usługi Exchange Online.

14 kwietnia 2018

Exchange 2013 przechodzi na emeryturę

Właśnie zakończył się podstawowy okres wsparcia dla Exchange 2013, co oznacza, że co prawda jeszcze przez kilka lat będzie miał on wsparcie rozszerzone (tzw extended support), ale będą dla tej platformy wydawane wyłącznie poprawki bezpieczeństwa. Zespół produktowy ogłosił, że w czerwcu 2018 ukaże się ostatni pakiet poprawek - CU21 dla Exchange 2013, więc trzeba brać to pod uwagę planując nowe wdrożenia (część firm, która kilka lat temu kupiła Exchange z Software Assurance ma licencje na tą wersję produktu). Co jakiś czas mój zespół realizuje migracje tylko do wersji 2013, jednak teraz należy się dobrze zastanowić, czy planowanie nowego wdrożenia na schodzącej platformie ma sens, zwłaszcza że pod koniec roku będzie dostępna wersja Exchange 2019 (publiczna beta powinna się pojawić jeszcze w tym kwartale). Podobnie ma się rzecz z pozostałymi produktami linii Office - Lync Serverem 2013 i Sharepoint Server 2010 - im też 10 kwietnia skończył się okres podstawowego wsparcia. W przypadku Sharepointa jest to o tyle bolesne, że bezpłatna wersja Foundation nie jest dostępna w linii 2016.
Exchange 2010 też dobiega kresu - rozszerzone wsparcie kończy się w styczniu 2020 roku, czyli już za nieco ponad półtora roku. Dobrze jest już zaplanować (jeżeli jeszcze tego nie zrobiliśmy) aktualizację do Exchange 2016 lub do Exchange Online, w zależności od naszych preferencji.

06 kwietnia 2018

Kolejne aktualizacje w Microsoft Teams

Microsoft właśnie ogłosił długą listę aktualizacji, które wchodzą w kwietniu do środowiska Teams. Jak dla mnie to na pewno duże znaczenie ma integracja/import kontaktów ze Skype for Business, bardzo obiecująco wygląda również opis nowej konsoli administracyjnej dla Teams i SFb Online. Przydatna będzie również funkcja wyświetlania statusów nieobecności, podobnie jak w przypadku klienta Skype for Business pobierana ze skrzynki Exchange. Nie mogę doczekać się jeszcze integracji z telefonią i nagrywania spotkań w chmurze, ale te funkcjonalności również mają zostać uruchomione jeszcze w tym kwartale. Wtedy uznam, że Microsoft Teams jest w pełni funkcjonalną platformą komunikacyjną i spokojnie można przestać używać Skype for Business.

30 marca 2018

Microsoft Tech Summit Warsaw


Tech Summit Warsaw


















Już za kilka tygodni w Warszawie szykuje się naprawdę duża konferencja dla IT Prosów i deweloperów związanych z chmurą. Po eventach we Frankfurcie, Amsterdamie, Paryżu, w końcu tym razem Tech Summit trafi do Warszawy - 25-26 kwietnia w centrum Expo XXI ponad 80 sesji dotyczących Office 365 i Azure, do tego laboratoria, keynotes prowadzone przez takie osoby jak Craig Dewar - Senior Director, Windows 10 oraz Jeffrey Snover - Technical Fellow, Azure Infrastructure and Management Group.
No i oczywiście możliwość spotkania z MVP - z Polski i nie tylko. Ja oczywiście się wybieram i zapraszam wszystkich serdecznie.
A wieczorem przed konferencją - specjalne spotkanie społecznościowe - PEPUG i PPoSH zapraszają na spotkanie dotyczące Powershell, na którym gościem specjalnym będzie własnie Jeffrey Snover.


21 marca 2018

Marcowe aktualizacje dla serwerów Exchange

Wczoraj Microsoft oficjalnie udostępnił paczki aktualizacji dla serwerów Exchange - po raz kolejny, wychodzący z użytku Exchange 2010 nie został w nich uwzględniony. Aktualizacje - odpowiednio CU9 dla Exchange 2016 i CU20 dla Exchange 2013 nie wprowadzają rewolucyjnych zmian, jednak w końcu formalnie zapewnia wsparcie dla TLS 1.2, o którego stopniowym wprowadzaniu pisałem ostatnio. Warto również pamiętać, że są to ostatnie  paczki, które nie wymagają zainstalowania .NetFramework 4.7.1 (od następnego kwartału będzie on obowiązkowym komponentem). Nadal wielu administratorów na serwerach ma ustawione instalowanie rekomendowanych poprawek, co powoduje instalację nowej wersji .NetFramework zanim zespół produktowy Exchange zdąży sprawdzić jego zgodność, ale mam nadzieję, że w najbliższym kwartale nie będzie w tym temacie dużo problemów. Warto przypomnieć również, że w przypadku środowisk hybrydowych, serwer hybrydowy należy zaktualizować do wersji nie starszej niż (-2), czyli jeżeli nie chcemy mieć problemów, dobrze jest sprawdzić, czy nasz serwer hybrydowy Exchange ma wersję co najmniej Exchange 2016 CU8 lub CU7 oraz odpowiednio Exchange 2013 CU19 lub CU18.
Poniżej linki do informacji o poprawki oraz paczek instalacyjnych poprawek:

Aktualizacja serwera Skype for Business

Microsoft wydał paczkę aktualizacji dla serwera Skype for  Business, jako drugi HotFix dla pakietu Cummulative Update 6 (CU6 HF2). Nie wprowadza ona dużych zmian dla systemu, jednak usuwa kilka błędów oraz już oficjalnie wprowadza Location-Based Routing dla urządzeń mobilnych (LBR został wstępnie wprowadzony w HF1, ale była to paczka aktualizacji na żądanie).
Instalacja marcowych poprawek wymaga również aktualizacji .Net Framework do wersji 4.5.2.
Więcej informacji można znaleźć na stronie aktualizacji dla serwera Skype for Business 2015. Instalator poprawek znajduje się tutaj - http://www.microsoft.com/en-us/download/details.aspx?id=47690.
Rok temu publikowałem posta z informacjami o oznaczeniach poszczególnych aktualizacji, ponieważ nie jest to takie intuicyjne, jak można by się spodziewać. Tabela została zaktualizowana o nowe poprawki.

16 marca 2018

Outlook for Android/IOS - kwestie komunikacyjne

Konfigurując zabezpieczenia dotyczące ograniczeń ruchu klienckiego do Exchange administrator często staje przed zagadnieniem określenia typu połączeń, które nie zawsze są takie oczywiste. "Gruby" klient, czyli Outlook na platformie Windows od kilkunastu lat używał protokołu RPC/HTTPS, chociaż do Exchange 2013 CU4 Microsoft zaczął promować nowy protokół MAPI/HTTP, który obecnie jest obowiązującym standardem dla dostępu do usługi Exchange Online. Na serwerach on-premises możemy go włączyć (nowe instalacje ustawiają go domyślnie), chociaż mocniej on obciąża serwery niż RPC/HTTPS. Ale za to jego diagnostyka powinna być prostsza.
W przypadku platformy Mac, domyślnie Outlook i inne typy klientów używają Web Service'ów (EWS), a w przypadku urządzeń mobilnych domyślnym protokołem komunikacyjnym jest ActiveSync. Niestety w przypadku klientów mobilnych na platformach IOS i Android nie do końca jest to prawdą. Kilka lat temu Microsoft kupił firmę Acompli, która stworzyła niezależnego klienta. Jest on bezpłatnie udostępniany jako Outlook for Android i Outlook for IOS, jednak po przeniesieniu usług powiązanych z aplikacją z AWS do chmury Microsoft, zamiast protokołu ActiveSync, klient obecnie używa protokołu RESTApi, czyli de facto EWS - https://blogs.office.com/en-US/2016/09/26/outlook-for-ios-and-android-is-now-fully-powered-by-the-microsoft-cloud/.
Outlook in the Cloud

W przypadku Exchange Online powoduje to dobrą integrację z usługami Office365, w przypadku Exchange on-premises powoduje to lekkie zamieszanie - połączenia przechodzą przez usługę proxy w Office365, co dla administratorów firewalli, a nawet serwerów Exchange powoduje dodatkowe zamieszanie. Jeżeli administrator nie chce pozwolić na korzystanie z tych klientów, może na poziomie organizacji lub wybranych użytkowników dopuścić lub zablokować korzystanie z tych klientów, np. poprzez użycie komendy:
Set-OrganizationConfig -EWSBlockList @{Add="Outlook-iOS/*", "Outlook-Android/*"}
Oczywiście, gdybyśmy chcieli zezwolić na korzystanie z tych klientów, to powinniśmy wykonać operację przeciwną:
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Ewentualnie usunąć Outlooki z listy zablokowanych aplikacji EWS.
Set-OrganizationConfig -EWSBlockList @{Remove="Outlook-iOS/*", "Outlook-Android/*"}
Analogiczne ustawienia możemy zdefiniować dla wybranego użytkownika, komendą
Set-CASMilbox
Możemy również całkowicie dla danego  użytkownika zablokować korzystanie z EWS
Set-CASMilbox -EWSEnabled:$False
Jednak w tym wypadku należy pamiętać, że będzie to skutkowało również utrudnieniem w dostępie z poziomu Outlooka w Windows np. do usługi dostępności w trakcie organizacji spotkań.
Analogicznie możemy blokować inne usługi lub klientów korzystających z EWS - np. integrację z LinkedIn czy Outlook dla Mac, jak na swoim blogu opisuje to Paul Cunningham.

EWS Settings for user and organization


28 stycznia 2018

Zalecenia TLS dla serwerów Exchange

Już za miesiąc, a dokładnie 1 marca 2018 Microsoft zacznie wymuszać połączenia do usług Office 365 z użyciem TLS 1.2, Warto mieć to na uwadze i zapoznać się z zaleceniami producenta, chociaż oczywiście, większość stacji roboczych nie powinna już mieć z tym problemów. Jednak w środowiskach hybrydowych, warto również sprawdzić jak wygląda sytuacja po stronie serwerów. Jakiś czas temu, pisałem już o wstępnych wytycznych w tym zakresie jakie Microsoft wdraża. Teraz pojawił się kolejny artykuł zespołu produktowego Exchange, który przedstawia wytyczne dla serwerów Exchange w tym zakresie. Część 1 ma za zadanie przygotować nas na zmiany, w kolejnych tygodniach przedstawione zostaną dwie kolejne wersji, jak włączyć TLS 1.2 w Exchange i jak wyłączyć wersje 1.0 i 1.1. Jak mantra w pierwszej części pojawiają się zalecenia aktualizacji wersji Exchange (co zresztą sam powtarzam co kwartał), odpowiednio:
  • CU8 w Exchange 2016 i jak najszybsza aktualizacja do wersji CU9, która ukaże się w tym kwartale,
  • CU19 w Exchange 2013 i jak najszybsza aktualizacja do wersji CU20 (również w tym kwartale),
  • SP3 RU19 w Exchange 2010, który też zostanie zaktualizowany do RU20 w tym kwartale.
Podobnie niezbędne będą aktualizacje .Net Framework, do najnowszych wersji, oraz oczywiście systematyczna aktualizacja systemów operacyjnych. Warto przejrzeć linkowane wcześniej artykuły, bo o ile w Windows Server 2012 SP2 i nowszych TLS 1.2 jest włączony, a w najnowszych wersjach dla SChannel jest nawet domyślnym protokołem, to w starszych wersjach należy go odpowiednio włączyć i skonfigurować. Albo pomyśleć o aktualizacji.

30 grudnia 2017

Podsumowanie roku 2017

Widzę na FB i Linkedin, że kolejni znajomi MVP robią podsumowanie roku 2017, więc ja też spróbuję napisać kilka przemyśleń.
Patrząc na życie prywatne, to mijający rok był udany. Fajne ferie zimowe, dwie wspaniałe wycieczki objazdowe po miejscach, o których zawsze marzyłem, próby (czasami udane) na oderwanie się od szarej rzeczywistości, 33 przeczytane książki nie związane z IT (chociaż biografia Steve Jobsa jednak trochę była). Sporo fajnych i ciekawych filmów i niestety za mało sportu.
Pod względem zawodowym było ciekawie ale i męcząco. Dużo wdrożeń i migracji. Trochę szkoleń i warsztatów. No i oczywiście nauka - Office 365 rozwija się bardzo dynamicznie, Azure również, więc trzeba się nieźle nagimnastykować, żeby nadążać za zmianami. Gwałtowny rozwój Teams, oraz wielu innych komponentów budzi szacunek, ale zmusza do ciągłej nauki. Pod tym względem rok 2018 będzie na pewno ciekawy - nie dość, że Teams mają przejąć wszystkie funkcje Skype for Business w chmurze, to na dodatek wychodzą nowe wersje serwerów Office. Więc będzie zabawa z betami Exchange 2019, Skype for Business 2019, a nawet Sharepoint 2019. Udało mi się również trochę zaktualizować wiedzę na temat technologii webowych - nie tylko HTML 5, ale również JavaScript i TypeScript oraz Node.JS i Angulara. Nie to, żebym chciał wrócić do programowania, ale raz na jakiś czas jakąś stronę webową zrobię i warto być w tym obszarze również na bieżąco.
Pod względem społecznościowym rok nie był najlepszy. Duża ilość pracy ograniczyła ilość konferencji, w których brałem udział i chociaż udało mi się przygotować Office Servers Summit 2017 (w tym roku z dwoma ścieżkami), to kilka innych pomysłów (np. Office 365 Bootcamp) nie wypaliło - po prostu nie starczyło czasu.
W przyszłym roku na pewno będę chciał zorganizować kolejny Office Servers Summit, być może już ze wstępnymi informacjami o nowych wersjach serwerowych, no i uzupełnić kilka certyfikacji, na które ciągle nie znalazłem czasu, a którymi się zajmuję. Mam jeszcze kilka pomysłów, ale podzielę się nimi publicznie, kiedy będą bardziej sprecyzowane.
Szczęśliwego Nowego Roku!

19 grudnia 2017

Grudniowa paczka poprawek do Exchange

Aktualizacja: W CU8 dla Exchange 2016 wykryto problem z prawidłową obsługą statusu Free/Busy, dla użytkowników hybrydowych ze skrzynką w chmurze bez archiwum. Jeżeli ktoś nie chce czekać na CU9 (koniec Q1 2019), powinien zainstalować poprawkę KB4058297.
Microsoft w końcu opublikował grudniowe aktualizacje dla serwerów Exchange. W ostatnich dniach pojawiły się szczegółowe informacje o nowej funkcjonalności, wprowadzanej w CU8 dla Exchange 2016 i CU19 dla Exchange 2013, czyli HMA (Hybrid Modern Authentication), wielu administratorów na pewno czekało również na informację o wsparciu dla .NetFramework 4.7, którego nie zdołano zweryfikować dla poprzedniej tury aktualizacji. Tym razem było wystarczająco dużo czasu i wsparcie zostało zapewnione, od razu dla wersji 4.7.1. Warto przy okazji zauważyć, że zespół produktowy poinformował, że wersja 4.7.1 będzie od poprawek z czerwca 2018 roku niezbędnym komponentem do instalacji Exchange lub jego aktualizacji.
Dodatkowo wydano również paczkę poprawek RU19 dla Exchange 2010, szczególnie istotnej dla firm, w których działają jednocześnie Exchange 2010 i 2016, ponieważ poprawia koegzystencję i rozwiązuje problemy z EWS proxy opisane w KB4054456. Jednocześnie Microsoft przypomina, że Exchange 2010 jest już poza regularnym okresem wsparcia (tzw. Extended Support) i nie należy się spodziewać regularnych poprawek w przyszłości.
Warto również zauważyć, że jeżeli ktoś ma zainstalowane poprawki z września 2017, to nie zachodzi potrzeba rozszerzania schematu AD dla najnowszych poprawek.
Poniżej artykuły KB z opisem aktualizacji oraz bezpośrednie linki do ich pobrania:


17 grudnia 2017

bramki antyspamowe i LDAPS

Niedawno miałem ciekawy przypadek przy konfiguracji bramki Symantec Messaging Gateway. Dla lepszej ochrony systemu pocztowego (jak dla mnie oczywiście Exchange), bramki te, podobnie jak wiele innych tego typu rozwiązań, pobierają z katalogu LDAP listę adresową organizacji. W ten sposób mogą weryfikować listę odbiorców dla poczty przychodzącej i listę nadawców dla poczty wychodzącej. W ten sposób również użytkownicy Exchange mogą łączyć się do swojej kwarantanny, znajdującej się na bramce. Konfiguracja integracji bramki antyspamowej z Active Directory jest stosunkowo prosta i polega na wskazaniu serwera, DN konta używanego do czytania danych (w przypadku AD może być również UPN tego konta), no i oczywiście hasła tego konta. Dodatkowym atrybutem połączenia jest port TCP (domyślnie 389). Kolejnym krokiem jest test połączenia.
Błąd przy zestawianiu połączenia z AD





















Przy próbie połączenia kreator pokazywał mi błąd, świadczący o nieprawidłowym koncie. Jednak próba połączenia z AD z komputera domenowego działała poprawnie. Po weryfikacji haseł, ustawień firewalla i innych kwestii sieciowych, sprawdziłem polisy GPO. Okazało się, że zarówno na kontrolerach domenowych, jak i na stacjach roboczych jest ustawione wymuszenie podpisywania pakietów LDAP (LDAP signing). Niestety funkcja ta powoduje problemy z uwierzytelnieniem z urządzeń takich jak SMG czy SonicWall.
Alternatywą było ustawienie połączenia na LDAPS. Przełączyłem port na 636 (domyślny port połączenia LDAPS) i tym razem dostałem komunikat, że nie mogę nawiązać połączenia z serwerem. O co chodzi? Człowiek przyzwyczaił się, że w środowisku domenowym wdrażany jest do wewnętrznych celów organizacji urząd certyfikacyjny (CA), a że całkiem sporo firm instaluje CA na kontrolerze domeny, a w takim wypadku dla kontrolerów domyślnie instalowane są certyfikaty, właśnie służące do szyfrowania komunikacji LDAP (czyli właśnie LDAPS). Jeżeli jednak w AD nie ma zainstalowanego urzędu certyfikacji, to takich certyfikatów niestety nie ma domyślnie zainstalowanych, więc LDAPS nie działa. Jak to zmienić? Bardzo prosto. Można oczywiście wdrożyć urząd certyfikacyjny na jednym z serwerów Windows, jednak nie zawsze jest to możliwe. Tak naprawdę, do uruchomienia LDAPS na kontrolerach domeny możemy użyć dowolnego urzędu CA, do którego mamy dostęp, żeby wygenerować potrzebne nam certyfikaty. Dobra instrukcja, jak to zrobić znajduje się na stronach wikipedii Technet. Możemy jednak postąpić jeszcze prościej - użyć certyfikatów self-signed. Tak naprawdę do uruchomienia LDAPS certyfikaty muszą spełniać 3 warunki:
  1. Certyfikat musi obsługiwać funkcję Server Authentication. Czyli innymi słowy musi zawierać Server Authentication OID: 1.3.6.1.5.5.7.3.1
  2. Atrybut Subject Name lub pierwsza nazwa w atrybucie Subject Alternative Name (SAN) musi  być zgodna z nazwą Fully Qualified Domain Name (FQDN) serwera - np. SubjectCN=server1.contoso.com
  3. W lokalnym magazynie konta komputera musi znajdować się klucz prywatny certyfikatu.
Czyli możemy z linii komend wygenerować certyfikat komendą:
certreq -New -Machine policy.inf
Wcześniej oczywiście musimy sobie przygotować plik policy.inf zawierający niezbędne informacje.
Kilka przykładów prostego i bardziej rozbudowanego pliku znalazłem na blogu Oskara Virota.
Jeżeli jednak kontrolery domeny są w wersji Windows 2012 lub nowszej możemy użyć cmdleta powershell New-SelfSignedCertificate
Tworząc certyfikat nawet przy minimalnej ilości atrybutów uzyskamy odpowiedni wynik, chociaż certyfikat będzie miał standardową długość życia certyfikatu (jeden rok):
New-SelfSignedCertificate -DnsName "server1.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"
Teraz musimy wyeksportować certyfikat (najlepiej w formacie Base64) i zaimportować go ponownie, tym razem wybierając magazyn Zaufanych Głównych Urzędów Certyfikacji, na wszystkich kontrolerach domeny, z którymi chcemy, żeby komunikacja LDAPS działała (oczywiście na nich również powinniśmy wygenerować i wyeksportować kolejne certyfikaty), oraz na bramce SMG.
Po restarcie kontrolera domeny połączenie LDAPS powinno uruchomić się bez problemów.

Paczka aktualizacji CU6 dla Skype for Business

Kilka dni temu Microsoft wydał paczkę aktualizacji CU6 dla Skype for Business. Paczka wprowadza Location-Based Routing dla urządzeń mobilnych poprawia obsługę spotkań na kliencie dla Mac'a. No i oczywiście usuwa jeszcze kilka drobnych problemów, co opisuje odpowiedni artykuł KB. Oczywiście najlepiej przeczytać go w całości, stosując poprawnie procedurę instalacji.
Microsoft niestety znowu trochę namieszał i wystawił poprawki na Windows Update, a przecież do ich instalacji należy wyłączyć usługi Skype for Business. Problemy z tym związane opisuje Tobie Fysh. Mam nadzieję, że zespół Windows Update szybko skoryguje swój błąd i "schowa" paczkę poprawek.

Problem bezpieczeństwa w Azure AD Connect

Kilka dni temu Microsoft poinformował o zagrożeniu związanym z uprawnieniami do konta serwisowego tworzonego w trakcie instalacji Azure AD Connect. Najnowsza wersja AAD Connect build 1.1.654.0 wprowadza dodatkowe zabezpieczenia konta, dlatego też warto przeprowadzić aktualizację. W przeciwnym wypadku możemy użyć modułu Powershell - AdSyncConfig.psm1 do zabezpieczenia konta - szczegóły dokładniej opisałem na blogu IT, jaki od pewnego czasu tworzą moi współpracownicy. Zapraszam do lektury.