Virtual Study

14 kwietnia 2018

Exchange 2013 przechodzi na emeryturę

Właśnie zakończył się podstawowy okres wsparcia dla Exchange 2013, co oznacza, że co prawda jeszcze przez kilka lat będzie miał on wsparcie rozszerzone (tzw extended support), ale będą dla tej platformy wydawane wyłącznie poprawki bezpieczeństwa. Zespół produktowy ogłosił, że w czerwcu 2018 ukaże się ostatni pakiet poprawek - CU21 dla Exchange 2013, więc trzeba brać to pod uwagę planując nowe wdrożenia (część firm, która kilka lat temu kupiła Exchange z Software Assurance ma licencje na tą wersję produktu). Co jakiś czas mój zespół realizuje migracje tylko do wersji 2013, jednak teraz należy się dobrze zastanowić, czy planowanie nowego wdrożenia na schodzącej platformie ma sens, zwłaszcza że pod koniec roku będzie dostępna wersja Exchange 2019 (publiczna beta powinna się pojawić jeszcze w tym kwartale). Podobnie ma się rzecz z pozostałymi produktami linii Office - Lync Serverem 2013 i Sharepoint Server 2010 - im też 10 kwietnia skończył się okres podstawowego wsparcia. W przypadku Sharepointa jest to o tyle bolesne, że bezpłatna wersja Foundation nie jest dostępna w linii 2016.
Exchange 2010 też dobiega kresu - rozszerzone wsparcie kończy się w styczniu 2020 roku, czyli już za nieco ponad półtora roku. Dobrze jest już zaplanować (jeżeli jeszcze tego nie zrobiliśmy) aktualizację do Exchange 2016 lub do Exchange Online, w zależności od naszych preferencji.

06 kwietnia 2018

Kolejne aktualizacje w Microsoft Teams

Microsoft właśnie ogłosił długą listę aktualizacji, które wchodzą w kwietniu do środowiska Teams. Jak dla mnie to na pewno duże znaczenie ma integracja/import kontaktów ze Skype for Business, bardzo obiecująco wygląda również opis nowej konsoli administracyjnej dla Teams i SFb Online. Przydatna będzie również funkcja wyświetlania statusów nieobecności, podobnie jak w przypadku klienta Skype for Business pobierana ze skrzynki Exchange. Nie mogę doczekać się jeszcze integracji z telefonią i nagrywania spotkań w chmurze, ale te funkcjonalności również mają zostać uruchomione jeszcze w tym kwartale. Wtedy uznam, że Microsoft Teams jest w pełni funkcjonalną platformą komunikacyjną i spokojnie można przestać używać Skype for Business.

30 marca 2018

Microsoft Tech Summit Warsaw


Tech Summit Warsaw


















Już za kilka tygodni w Warszawie szykuje się naprawdę duża konferencja dla IT Prosów i deweloperów związanych z chmurą. Po eventach we Frankfurcie, Amsterdamie, Paryżu, w końcu tym razem Tech Summit trafi do Warszawy - 25-26 kwietnia w centrum Expo XXI ponad 80 sesji dotyczących Office 365 i Azure, do tego laboratoria, keynotes prowadzone przez takie osoby jak Craig Dewar - Senior Director, Windows 10 oraz Jeffrey Snover - Technical Fellow, Azure Infrastructure and Management Group.
No i oczywiście możliwość spotkania z MVP - z Polski i nie tylko. Ja oczywiście się wybieram i zapraszam wszystkich serdecznie.
A wieczorem przed konferencją - specjalne spotkanie społecznościowe - PEPUG i PPoSH zapraszają na spotkanie dotyczące Powershell, na którym gościem specjalnym będzie własnie Jeffrey Snover.


21 marca 2018

Marcowe aktualizacje dla serwerów Exchange

Wczoraj Microsoft oficjalnie udostępnił paczki aktualizacji dla serwerów Exchange - po raz kolejny, wychodzący z użytku Exchange 2010 nie został w nich uwzględniony. Aktualizacje - odpowiednio CU9 dla Exchange 2016 i CU20 dla Exchange 2013 nie wprowadzają rewolucyjnych zmian, jednak w końcu formalnie zapewnia wsparcie dla TLS 1.2, o którego stopniowym wprowadzaniu pisałem ostatnio. Warto również pamiętać, że są to ostatnie  paczki, które nie wymagają zainstalowania .NetFramework 4.7.1 (od następnego kwartału będzie on obowiązkowym komponentem). Nadal wielu administratorów na serwerach ma ustawione instalowanie rekomendowanych poprawek, co powoduje instalację nowej wersji .NetFramework zanim zespół produktowy Exchange zdąży sprawdzić jego zgodność, ale mam nadzieję, że w najbliższym kwartale nie będzie w tym temacie dużo problemów. Warto przypomnieć również, że w przypadku środowisk hybrydowych, serwer hybrydowy należy zaktualizować do wersji nie starszej niż (-2), czyli jeżeli nie chcemy mieć problemów, dobrze jest sprawdzić, czy nasz serwer hybrydowy Exchange ma wersję co najmniej Exchange 2016 CU8 lub CU7 oraz odpowiednio Exchange 2013 CU19 lub CU18.
Poniżej linki do informacji o poprawki oraz paczek instalacyjnych poprawek:

Aktualizacja serwera Skype for Business

Microsoft wydał paczkę aktualizacji dla serwera Skype for  Business, jako drugi HotFix dla pakietu Cummulative Update 6 (CU6 HF2). Nie wprowadza ona dużych zmian dla systemu, jednak usuwa kilka błędów oraz już oficjalnie wprowadza Location-Based Routing dla urządzeń mobilnych (LBR został wstępnie wprowadzony w HF1, ale była to paczka aktualizacji na żądanie).
Instalacja marcowych poprawek wymaga również aktualizacji .Net Framework do wersji 4.5.2.
Więcej informacji można znaleźć na stronie aktualizacji dla serwera Skype for Business 2015. Instalator poprawek znajduje się tutaj - http://www.microsoft.com/en-us/download/details.aspx?id=47690.
Rok temu publikowałem posta z informacjami o oznaczeniach poszczególnych aktualizacji, ponieważ nie jest to takie intuicyjne, jak można by się spodziewać. Tabela została zaktualizowana o nowe poprawki.

16 marca 2018

Outlook for Android/IOS - kwestie komunikacyjne

Konfigurując zabezpieczenia dotyczące ograniczeń ruchu klienckiego do Exchange administrator często staje przed zagadnieniem określenia typu połączeń, które nie zawsze są takie oczywiste. "Gruby" klient, czyli Outlook na platformie Windows od kilkunastu lat używał protokołu RPC/HTTPS, chociaż do Exchange 2013 CU4 Microsoft zaczął promować nowy protokół MAPI/HTTP, który obecnie jest obowiązującym standardem dla dostępu do usługi Exchange Online. Na serwerach on-premises możemy go włączyć (nowe instalacje ustawiają go domyślnie), chociaż mocniej on obciąża serwery niż RPC/HTTPS. Ale za to jego diagnostyka powinna być prostsza.
W przypadku platformy Mac, domyślnie Outlook i inne typy klientów używają Web Service'ów (EWS), a w przypadku urządzeń mobilnych domyślnym protokołem komunikacyjnym jest ActiveSync. Niestety w przypadku klientów mobilnych na platformach IOS i Android nie do końca jest to prawdą. Kilka lat temu Microsoft kupił firmę Acompli, która stworzyła niezależnego klienta. Jest on bezpłatnie udostępniany jako Outlook for Android i Outlook for IOS, jednak po przeniesieniu usług powiązanych z aplikacją z AWS do chmury Microsoft, zamiast protokołu ActiveSync, klient obecnie używa protokołu RESTApi, czyli de facto EWS - https://blogs.office.com/en-US/2016/09/26/outlook-for-ios-and-android-is-now-fully-powered-by-the-microsoft-cloud/.
Outlook in the Cloud

W przypadku Exchange Online powoduje to dobrą integrację z usługami Office365, w przypadku Exchange on-premises powoduje to lekkie zamieszanie - połączenia przechodzą przez usługę proxy w Office365, co dla administratorów firewalli, a nawet serwerów Exchange powoduje dodatkowe zamieszanie. Jeżeli administrator nie chce pozwolić na korzystanie z tych klientów, może na poziomie organizacji lub wybranych użytkowników dopuścić lub zablokować korzystanie z tych klientów, np. poprzez użycie komendy:
Set-OrganizationConfig -EWSBlockList @{Add="Outlook-iOS/*", "Outlook-Android/*"}
Oczywiście, gdybyśmy chcieli zezwolić na korzystanie z tych klientów, to powinniśmy wykonać operację przeciwną:
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Ewentualnie usunąć Outlooki z listy zablokowanych aplikacji EWS.
Set-OrganizationConfig -EWSBlockList @{Remove="Outlook-iOS/*", "Outlook-Android/*"}
Analogiczne ustawienia możemy zdefiniować dla wybranego użytkownika, komendą
Set-CASMilbox
Możemy również całkowicie dla danego  użytkownika zablokować korzystanie z EWS
Set-CASMilbox -EWSEnabled:$False
Jednak w tym wypadku należy pamiętać, że będzie to skutkowało również utrudnieniem w dostępie z poziomu Outlooka w Windows np. do usługi dostępności w trakcie organizacji spotkań.
Analogicznie możemy blokować inne usługi lub klientów korzystających z EWS - np. integrację z LinkedIn czy Outlook dla Mac, jak na swoim blogu opisuje to Paul Cunningham.

EWS Settings for user and organization


28 stycznia 2018

Zalecenia TLS dla serwerów Exchange

Już za miesiąc, a dokładnie 1 marca 2018 Microsoft zacznie wymuszać połączenia do usług Office 365 z użyciem TLS 1.2, Warto mieć to na uwadze i zapoznać się z zaleceniami producenta, chociaż oczywiście, większość stacji roboczych nie powinna już mieć z tym problemów. Jednak w środowiskach hybrydowych, warto również sprawdzić jak wygląda sytuacja po stronie serwerów. Jakiś czas temu, pisałem już o wstępnych wytycznych w tym zakresie jakie Microsoft wdraża. Teraz pojawił się kolejny artykuł zespołu produktowego Exchange, który przedstawia wytyczne dla serwerów Exchange w tym zakresie. Część 1 ma za zadanie przygotować nas na zmiany, w kolejnych tygodniach przedstawione zostaną dwie kolejne wersji, jak włączyć TLS 1.2 w Exchange i jak wyłączyć wersje 1.0 i 1.1. Jak mantra w pierwszej części pojawiają się zalecenia aktualizacji wersji Exchange (co zresztą sam powtarzam co kwartał), odpowiednio:
  • CU8 w Exchange 2016 i jak najszybsza aktualizacja do wersji CU9, która ukaże się w tym kwartale,
  • CU19 w Exchange 2013 i jak najszybsza aktualizacja do wersji CU20 (również w tym kwartale),
  • SP3 RU19 w Exchange 2010, który też zostanie zaktualizowany do RU20 w tym kwartale.
Podobnie niezbędne będą aktualizacje .Net Framework, do najnowszych wersji, oraz oczywiście systematyczna aktualizacja systemów operacyjnych. Warto przejrzeć linkowane wcześniej artykuły, bo o ile w Windows Server 2012 SP2 i nowszych TLS 1.2 jest włączony, a w najnowszych wersjach dla SChannel jest nawet domyślnym protokołem, to w starszych wersjach należy go odpowiednio włączyć i skonfigurować. Albo pomyśleć o aktualizacji.

30 grudnia 2017

Podsumowanie roku 2017

Widzę na FB i Linkedin, że kolejni znajomi MVP robią podsumowanie roku 2017, więc ja też spróbuję napisać kilka przemyśleń.
Patrząc na życie prywatne, to mijający rok był udany. Fajne ferie zimowe, dwie wspaniałe wycieczki objazdowe po miejscach, o których zawsze marzyłem, próby (czasami udane) na oderwanie się od szarej rzeczywistości, 33 przeczytane książki nie związane z IT (chociaż biografia Steve Jobsa jednak trochę była). Sporo fajnych i ciekawych filmów i niestety za mało sportu.
Pod względem zawodowym było ciekawie ale i męcząco. Dużo wdrożeń i migracji. Trochę szkoleń i warsztatów. No i oczywiście nauka - Office 365 rozwija się bardzo dynamicznie, Azure również, więc trzeba się nieźle nagimnastykować, żeby nadążać za zmianami. Gwałtowny rozwój Teams, oraz wielu innych komponentów budzi szacunek, ale zmusza do ciągłej nauki. Pod tym względem rok 2018 będzie na pewno ciekawy - nie dość, że Teams mają przejąć wszystkie funkcje Skype for Business w chmurze, to na dodatek wychodzą nowe wersje serwerów Office. Więc będzie zabawa z betami Exchange 2019, Skype for Business 2019, a nawet Sharepoint 2019. Udało mi się również trochę zaktualizować wiedzę na temat technologii webowych - nie tylko HTML 5, ale również JavaScript i TypeScript oraz Node.JS i Angulara. Nie to, żebym chciał wrócić do programowania, ale raz na jakiś czas jakąś stronę webową zrobię i warto być w tym obszarze również na bieżąco.
Pod względem społecznościowym rok nie był najlepszy. Duża ilość pracy ograniczyła ilość konferencji, w których brałem udział i chociaż udało mi się przygotować Office Servers Summit 2017 (w tym roku z dwoma ścieżkami), to kilka innych pomysłów (np. Office 365 Bootcamp) nie wypaliło - po prostu nie starczyło czasu.
W przyszłym roku na pewno będę chciał zorganizować kolejny Office Servers Summit, być może już ze wstępnymi informacjami o nowych wersjach serwerowych, no i uzupełnić kilka certyfikacji, na które ciągle nie znalazłem czasu, a którymi się zajmuję. Mam jeszcze kilka pomysłów, ale podzielę się nimi publicznie, kiedy będą bardziej sprecyzowane.
Szczęśliwego Nowego Roku!

19 grudnia 2017

Grudniowa paczka poprawek do Exchange

Aktualizacja: W CU8 dla Exchange 2016 wykryto problem z prawidłową obsługą statusu Free/Busy, dla użytkowników hybrydowych ze skrzynką w chmurze bez archiwum. Jeżeli ktoś nie chce czekać na CU9 (koniec Q1 2019), powinien zainstalować poprawkę KB4058297.
Microsoft w końcu opublikował grudniowe aktualizacje dla serwerów Exchange. W ostatnich dniach pojawiły się szczegółowe informacje o nowej funkcjonalności, wprowadzanej w CU8 dla Exchange 2016 i CU19 dla Exchange 2013, czyli HMA (Hybrid Modern Authentication), wielu administratorów na pewno czekało również na informację o wsparciu dla .NetFramework 4.7, którego nie zdołano zweryfikować dla poprzedniej tury aktualizacji. Tym razem było wystarczająco dużo czasu i wsparcie zostało zapewnione, od razu dla wersji 4.7.1. Warto przy okazji zauważyć, że zespół produktowy poinformował, że wersja 4.7.1 będzie od poprawek z czerwca 2018 roku niezbędnym komponentem do instalacji Exchange lub jego aktualizacji.
Dodatkowo wydano również paczkę poprawek RU19 dla Exchange 2010, szczególnie istotnej dla firm, w których działają jednocześnie Exchange 2010 i 2016, ponieważ poprawia koegzystencję i rozwiązuje problemy z EWS proxy opisane w KB4054456. Jednocześnie Microsoft przypomina, że Exchange 2010 jest już poza regularnym okresem wsparcia (tzw. Extended Support) i nie należy się spodziewać regularnych poprawek w przyszłości.
Warto również zauważyć, że jeżeli ktoś ma zainstalowane poprawki z września 2017, to nie zachodzi potrzeba rozszerzania schematu AD dla najnowszych poprawek.
Poniżej artykuły KB z opisem aktualizacji oraz bezpośrednie linki do ich pobrania:


17 grudnia 2017

bramki antyspamowe i LDAPS

Niedawno miałem ciekawy przypadek przy konfiguracji bramki Symantec Messaging Gateway. Dla lepszej ochrony systemu pocztowego (jak dla mnie oczywiście Exchange), bramki te, podobnie jak wiele innych tego typu rozwiązań, pobierają z katalogu LDAP listę adresową organizacji. W ten sposób mogą weryfikować listę odbiorców dla poczty przychodzącej i listę nadawców dla poczty wychodzącej. W ten sposób również użytkownicy Exchange mogą łączyć się do swojej kwarantanny, znajdującej się na bramce. Konfiguracja integracji bramki antyspamowej z Active Directory jest stosunkowo prosta i polega na wskazaniu serwera, DN konta używanego do czytania danych (w przypadku AD może być również UPN tego konta), no i oczywiście hasła tego konta. Dodatkowym atrybutem połączenia jest port TCP (domyślnie 389). Kolejnym krokiem jest test połączenia.
Błąd przy zestawianiu połączenia z AD





















Przy próbie połączenia kreator pokazywał mi błąd, świadczący o nieprawidłowym koncie. Jednak próba połączenia z AD z komputera domenowego działała poprawnie. Po weryfikacji haseł, ustawień firewalla i innych kwestii sieciowych, sprawdziłem polisy GPO. Okazało się, że zarówno na kontrolerach domenowych, jak i na stacjach roboczych jest ustawione wymuszenie podpisywania pakietów LDAP (LDAP signing). Niestety funkcja ta powoduje problemy z uwierzytelnieniem z urządzeń takich jak SMG czy SonicWall.
Alternatywą było ustawienie połączenia na LDAPS. Przełączyłem port na 636 (domyślny port połączenia LDAPS) i tym razem dostałem komunikat, że nie mogę nawiązać połączenia z serwerem. O co chodzi? Człowiek przyzwyczaił się, że w środowisku domenowym wdrażany jest do wewnętrznych celów organizacji urząd certyfikacyjny (CA), a że całkiem sporo firm instaluje CA na kontrolerze domeny, a w takim wypadku dla kontrolerów domyślnie instalowane są certyfikaty, właśnie służące do szyfrowania komunikacji LDAP (czyli właśnie LDAPS). Jeżeli jednak w AD nie ma zainstalowanego urzędu certyfikacji, to takich certyfikatów niestety nie ma domyślnie zainstalowanych, więc LDAPS nie działa. Jak to zmienić? Bardzo prosto. Można oczywiście wdrożyć urząd certyfikacyjny na jednym z serwerów Windows, jednak nie zawsze jest to możliwe. Tak naprawdę, do uruchomienia LDAPS na kontrolerach domeny możemy użyć dowolnego urzędu CA, do którego mamy dostęp, żeby wygenerować potrzebne nam certyfikaty. Dobra instrukcja, jak to zrobić znajduje się na stronach wikipedii Technet. Możemy jednak postąpić jeszcze prościej - użyć certyfikatów self-signed. Tak naprawdę do uruchomienia LDAPS certyfikaty muszą spełniać 3 warunki:
  1. Certyfikat musi obsługiwać funkcję Server Authentication. Czyli innymi słowy musi zawierać Server Authentication OID: 1.3.6.1.5.5.7.3.1
  2. Atrybut Subject Name lub pierwsza nazwa w atrybucie Subject Alternative Name (SAN) musi  być zgodna z nazwą Fully Qualified Domain Name (FQDN) serwera - np. SubjectCN=server1.contoso.com
  3. W lokalnym magazynie konta komputera musi znajdować się klucz prywatny certyfikatu.
Czyli możemy z linii komend wygenerować certyfikat komendą:
certreq -New -Machine policy.inf
Wcześniej oczywiście musimy sobie przygotować plik policy.inf zawierający niezbędne informacje.
Kilka przykładów prostego i bardziej rozbudowanego pliku znalazłem na blogu Oskara Virota.
Jeżeli jednak kontrolery domeny są w wersji Windows 2012 lub nowszej możemy użyć cmdleta powershell New-SelfSignedCertificate
Tworząc certyfikat nawet przy minimalnej ilości atrybutów uzyskamy odpowiedni wynik, chociaż certyfikat będzie miał standardową długość życia certyfikatu (jeden rok):
New-SelfSignedCertificate -DnsName "server1.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"
Teraz musimy wyeksportować certyfikat (najlepiej w formacie Base64) i zaimportować go ponownie, tym razem wybierając magazyn Zaufanych Głównych Urzędów Certyfikacji, na wszystkich kontrolerach domeny, z którymi chcemy, żeby komunikacja LDAPS działała (oczywiście na nich również powinniśmy wygenerować i wyeksportować kolejne certyfikaty), oraz na bramce SMG.
Po restarcie kontrolera domeny połączenie LDAPS powinno uruchomić się bez problemów.

Paczka aktualizacji CU6 dla Skype for Business

Kilka dni temu Microsoft wydał paczkę aktualizacji CU6 dla Skype for Business. Paczka wprowadza Location-Based Routing dla urządzeń mobilnych poprawia obsługę spotkań na kliencie dla Mac'a. No i oczywiście usuwa jeszcze kilka drobnych problemów, co opisuje odpowiedni artykuł KB. Oczywiście najlepiej przeczytać go w całości, stosując poprawnie procedurę instalacji.
Microsoft niestety znowu trochę namieszał i wystawił poprawki na Windows Update, a przecież do ich instalacji należy wyłączyć usługi Skype for Business. Problemy z tym związane opisuje Tobie Fysh. Mam nadzieję, że zespół Windows Update szybko skoryguje swój błąd i "schowa" paczkę poprawek.

Problem bezpieczeństwa w Azure AD Connect

Kilka dni temu Microsoft poinformował o zagrożeniu związanym z uprawnieniami do konta serwisowego tworzonego w trakcie instalacji Azure AD Connect. Najnowsza wersja AAD Connect build 1.1.654.0 wprowadza dodatkowe zabezpieczenia konta, dlatego też warto przeprowadzić aktualizację. W przeciwnym wypadku możemy użyć modułu Powershell - AdSyncConfig.psm1 do zabezpieczenia konta - szczegóły dokładniej opisałem na blogu IT, jaki od pewnego czasu tworzą moi współpracownicy. Zapraszam do lektury.

25 listopada 2017

Tajemnicza poprawka KB2982006

Kilka dni temu w ramach beta testów aktualizacji do Skype for Business musiałem odinstalować poprawkę dla kilku komponentów i niestety zmuszony byłem do reinstalacji jednego z modułów w całości. Odpaliłem Deployment Wizard i otrzymałem ku mojemu zaskoczeniu błąd, jak widać na obrazku poniżej. 
Error: Prerequisite not satisfied


















Tylko, że przecież ta poprawka w systemie już raz była istalowana. No ale trudno, spróbowałem reinstalacji - niestety dostałem komunikat, że poprawka nie może być zainstalowana na tym systemie.
O co chodzi? Czasami taki komunikat wyskakuje, gdy nie jest zainstalowana jedna z poprawek wymaganych przez KB2982006 - czyli KB2919355 oraz KB2919442. Ale obie były zainstalowane. 
Szukając rozwiązania znalazłem w końcu artykuł na blogu UCLobby, który opisywał, jak naprawić taką sytuację. W tym celu zamiast standardowej instalacji poprawki, należy rozpakować paczkę aktualizacji - w tym celu tworzymy nowy folder np. C:\Install\KB2982006, a następnie rozpakowujemy do niego paczkę:
expand -F:* .\Windows8.1-KB2982006-x64.msu C:\Install\KB2982006
Teraz instalujemy poprawkę narzędziem DISM:
dism /Online /Add-Package /PackagePath:C:\Install\KB2982006\Windows8.1-KB2982006-x64.cab
Instalacja przechodzi poprawnie, co możemy sprawdzić szybko z powershella poprzez get-hotfix.
Proste i efektywne, chociaż nieco niestandardowe. Teraz Deployment Wizard nie będzie już zgłaszał obiekcji
Całą procedurę pokazuje poniższy rysunek. 
Instalacja KB2982006

08 października 2017

Ucz się Jasiu, ucz

Człowiek całe życie się uczy i głupi umiera. To powiedzenie szczególnie jest prawdziwe w odniesieniu do zawodów związanych z technologiami, które szybko się zmieniają, czyli oczywiście IT. Potrzeba ustawicznego dokształcania się jest dla mnie oczywistością, ale nadal spotykam osoby, które tego nie rozumieją. Prawda jest taka, że po 5 latach technologia zmienia się na tyle, że bez aktualizacji wiedzy na temat systemów, aplikacji, platform, etc. można tak naprawdę uznać, że należy awansować na poziom, gdzie nie ma się już bezpośrednio kontaktu z technologią, lub zmienić zawód.
Ja akurat chcę mieć kontakt z technologią więc staram się korzystać z różnych możliwości poszerzania wiedzy. Ostatnio Microsoft trochę zaszalał i udostępnił kilka nowych witryn szkoleniowych, a że nie tylko Microsoft szkoli z nowych technologii, więc uznałem, że warto powiedzieć kilka słów o serwisach, z których korzystam i spróbować je trochę porównać. Kolejność  powiązana ze względami historycznymi (jak długo korzystam z danego serwisu), a nie jakością szkoleń.
  1. MOC - czyli oficjalne szkolenia Microsoftowe. Lista szkoleń dostępna jest na stronie http://www.microsoft.com/learning/default.aspx, a same szkolenia dostarczane są przez ośrodki szkoleniowe. Jako trener aktywny ponad 10 lat, nie będę rozwodził się nad ostatnimi zmianami w procesie zostawania trenerem i kompetencjami szkoleniowymi partnerów. Powiem tylko, że jeżeli szkolenie prowadzi dobry trener to można nie tylko poznać produkt, jego praktyczne stosowanie, a nawet przygotować się do egzaminu certyfikacyjnego Microsoft. Z drugiej strony, muszę przyznać z przykrością, że zakres tematyczny szkoleń nie pokrywa wszystkich produktów, a część szkoleń jest mocno nieaktualna (np. szkolenie z Exchange 2013 nadal wykorzystuje wersję CU1, co wyklucza wiele funkcjonalności dodanych w późniejszych aktualizacjach.
  2. MVA - wirtualna akademia Microsoft. Bezpłatne szkolenia, aktualizowane stosunkowo często. Początkowo za uczestniczenie i ukończenie szkoleń były przyznawane punkty, które można było np. wymieniać na vouchery egzaminacyjne (w ograniczonym zakresie), część cykli szkoleniowych pozwalała również na aktualizację certyfikatów MCSE. Teraz tworzone są cykle szkoleniowe, które po ukończeniu pozwalają uzyskać "odznaki", ale na pewno można uzyskać sporo informacji na wybrane tematy bez ponoszenia nakładów (oczywiście nie licząc czasu). Minusem jest brak laboratoriów (do wybranych szkoleń można znaleźć materiały na githubie), chociaż są testy weryfikujące zdobytą wiedzę po każdym module. Można również nagrać swoje szkolenie i je opublikować.
  3. Microsoft Online Learning to kolejna witryna Microsoft, przeznaczona do nauki (również występuje pod nazwą Imagine Academy - https://imagineacademy.microsoft.com, wspólnie z drugą witryną Partner Academy). Korzystanie jest bezpłatne, ale wymagane są kody dostępowe lub przypisanie konta do organizacji będącej partnerem Microsoft. Materiały wideo, do tego testy online, a nawet certyfikaty (chociaż niepowiązane z oficjalnymi ścieżkami certyfikacyjnymi), wymagane w niektórych obszarach kompetencji partnerskich.
  4. edX - z tą witryną zetknąłem się przy okazji nowego programu certyfikacyjnego Microsoft Professional Program, który został przez Microsoft uruchomiony mniej więcej rok temu. Początkowo składał się on trzech ścieżek (Front-End Web Developer i dwóch bazodanowych), w ostatnim miesiącu zostały dodane dwie kolejne ścieżki - DevOps i Cloud Administrator). Żeby zdobyć certyfikację z danej ścieżki należy ukończyć około 10 szkoleń udostępnianych przez edX. Szkolenia składają się z materiałów wideo, opisów funkcjonalności, labów (czasami wyniki wykonania labów podlegają ocenie) oraz quizów sprawdzających zdobytą wiedzę. W odróżnieniu od MVA, na pytania można odpowiedzieć tylko raz, w niektórych szkoleniach dwa razy. Jeżeli tylko chcemy poznać dany temat, to szkolenie jest bezpłatne, ale gdy chcemy uzyskać certyfikat, to jest ono dodatkowo płatne (najczęściej 99$). Dodatkowo mamy do dyspozycji jeszcze forum dyskusyjne z innymi uczestnikami szkolenia. W ten sposób naprawdę możemy poznać temat szkolenia, również od strony praktycznej, a po uzyskaniu odpowiedniej ilości punktów na podstawie labów i poprawnych odpowiedzi, możemy dopłacić i uzyskać certyfikat. eDX posiada w swych zasobach bardzo szeroki zakres szkoleń - od językowych, przez wiele różnych dziedzin życia aż do technologii IT.
  5. Tech Academy - https://academy.techcommunity.microsoft.com/ nowo utworzona w ramach serwisu Techcommunity, mocno promowanego przez Microsoft w ostatnim roku. W Akademii udostępniono kilkanaście ścieżek szkoleniowych, dotyczących głównie Azure i Office365, również w zakresie podstaw programowania dla tych technologii (np. Graph czy dodatki do Teams). W witrynie są dostępne materiały wideo, ale mamy też możliwość pobrania slajdów do danej prezentacji czy też dostępu do repozytorium na GitHubie z materiałami użytymi w danej sesji. Dopiero zacząłem korzystać z tej witryny, ale wygląda ciekawie.
  6. Plurasight - To niezależna firma dostarczająca (podobnie jak eDX) materiały szkoleniowe w postaci materiałów wideo. Dostęp do niej jest możliwy na podstawie wykupionej subskrypcji. Jest dużo ścieżek szkoleniowych przede wszystkim w obszarach developerskich, można również pobierać materiały wykorzystywane w przykładach i ćwiczeniach.
  7. LinkedIn - ten portal (całkiem niedawno kupiony przez Microsoft), gdzie również dla użytkowników Premium dostępna jest część ze szkoleniami video. Tutaj oprócz szkoleń technologicznych (nie tylko Micorosoft, ale np. również VMware) można znaleźć szkolenia dotyczące zarządzania projektami, kierowania zespołami, cyberbezpieczeństwa. Kilka dni temu uzyskałem dostęp do tego portalu i dopiero zacząłem poznawać jego zasoby.

 Jak widać wybór duży, więc nie mamy wymówek, że się nie da, bo nie mamy gdzie się szkolić. Jeżeli brakuje nam szkoleń bezpłatnych, to można sięgnąć po te płatne (chociażby w wersji trial), żeby sprawdzić, czy są tam szukane przez nas treści.

21 września 2017

Wrześniowe poprawki do Exchange

Microsoft opublikował poprawki do Exchange 2016 i 2013. Warto zauważyć, że do starszych wersji Exchange poprawek już nie ma. Poza uwzględnieniem kilku poprawek funkcjonalnych i bezpieczeństwa (szczegóły w artykułach poniżej), warto zauważyć, że w CU7 zespół produktowy podniósł wymagania na poziom funkcjonalny Active Directory - minimalny wymagany poziom lasu to od dzisiaj Windows Server 2008R2. Druga kwestia to .Net Framework. Wprowadzenie .Net Framework 4.7 tuż przed wydaniem poprzedniej wersji poprawek Exchange wprowadziło niezłe zamieszanie. Ale wrześniowe poprawki tego NIE ZMIENIAJĄ. Zespół produktowy Exchange zapowiedział wsparcie dla wersji 4.7.1 w grudniowych poprawkach, a ze względu na pojawiające się problemy, wersja 4.7 zostanie pominięta. Poniżej linki z pełnym opisem oraz miejscem pobrania poprawek:

04 sierpnia 2017

Problem z nowym klientem Skype for Business

Dobrze mieć aktualną wersję Office, jednak czasem zdarzają się problemy. Ostatnio została wydana paczka poprawek dla Office CTR (czyli aktualizowanego z tenantem Office 365), SFB Client Version 16.0.8326.2052, która niestety po wylogowaniu wyglądała dosyć nieciekawie (pierwszy rysunek).
SfB po wylogowaniu
Rys. 1 Pusty klient SfB
Rys. 2 Ponowne logowanie
































Jedyna możliwość zalogowania to z poziomu pasku statusu prawoklik na ikonie SfB i kliknięcie "Zaloguj" (rysunek 2). Niestety, nie mamy dostępu do opcji zmiany konta, czyli masakra.
Zespół produktowy pracuje na rozwiązaniem problemu i mam nadzieję, że szybko znajdzie rozwiązanie, ale co zrobić jak już mamy problematyczną aktualizację? Odinstalować cały Office? Ponowna instalacja wgra tą samą wersję, więc jedyne wyjście to zmienić kanał dystrybucyjny z jakiego korzystamy (wczesny, normalny, opóźniony). Żeby nie grzebać po ustawieniach globalnych tenanta można zmienić to poprzez GPO, korzystając z ustawień szablonu Office 2016, najszybciej jednak zmienimy konfigurację poprzez klucz w rejestrze.
W tym celu musimy utworzyć klucz (jeżeli go nie mamy) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate i w nim definiujemy wartość updatebranch typu REG_SZ. I podajemy odpowiednią wartość:
  • Insiderfast
  • FirstReleaseCurrent
  • Current
  • Validation
  • Business
Kanałem z najstarszą wersją poprawek jest Business, więc najlepiej użyć tej wartości.
Zmiana kanału aktualizacji poprawek Office
Rys. 3 Wartość klucza zmiany kanału aktualizacji












Teraz wystarczy tylko we właściwościach konta innej aplikacji (np. Outlooka) kliknąć w przycisk aktualizacji poprawek i po chwili nasz Office wgra starszą wersję poprawek.

01 sierpnia 2017

Sprawdzanie konfiguracji serwerów Exchange

Ciekawe skrypty powershellowe przeważnie wrzucam na Twittera. Jednak weryfikacja i kontrola konfiguracji serwerów to temat na tyle istotny, że warto czasem do niego wrócić w nieco szerszym aspekcie. Kiedyś Microsoft udostępniał narzędzie ExBPA - Exchange Best Practices Analyzer, naajpierw dostępny osobno, później dodawany do binariów Exchange. Niestety, Od wersji 2013 w zasadzie narzędzie znikło. Pojawiło się co prawda w formie szczątkowej po wielu miesiącach przerwy, ale tak naprawdę miało za zadanie głównie weryfikację pod kątem integracji środowiska lokalnego z Office365.
Od czego jednak Powershell? Czego nie ma w pakiecie, można dopisać sobie w powershellu, a jeżeli nie potrafimy, lub nie mamy czasu, to możemy gotowego skryptu poszukać w internecie. Nieocenionym źródłem jest Technet Gallery, gdzie jest ponad 1000 skryptów dla Exchange i wiele więcej dla innych obszarów technologii Microsoft. Sam opublikowałem tam kilka skryptów, ale bardzo często korzystam z narzędzi stworzonych przez Steve'a Goodmana, Paula Cunninghama czy Ingo Gegenwartha. Inni specjaliści, jak np. Pat Richard publikują skrypty na swoim blogu, jednak ostatnio coraz więcej ciekawych narzędzi można znaleźć na githubie. Tam też wczoraj znalazłem bardzo pożyteczny skrypt Davida Paulsona o nazwie HealthChecker. Sprawdza on podstawowe parametry hosta, nie zawsze oczywiste (jak np. włączony hyperthreating, którego zespół produktowy nie zaleca ze względów wydajnościowych). Na platformach wirtualnych część opcji nie ma zastosowania, ale nawet wtedy możemy sprawdzić np. ustawienia pliku wymiany, planu zasilania czy zainstalowanie niestandardowych poprawek dotyczących wydajności, jak pokazuje poniższy rysunek. Zdecydowanie polecam.
healthchecker.ps1 results

28 czerwca 2017

Czerwcowe poprawki do Exchange

Ostatniej nocy Microsoft oficjalnie wydał nowe paczki poprawek do Exchange 2016 i 2013:


Niestety, dla dla nowych pakietów nie została zweryfikowana kompatybilność z .NEt Framework 4.7, tak że nadal w mocy pozostaje ostrzeżenie przed instalacją tej wersji. Pisałem o tym niedawno i jak widać zespół Exchange nie zdążył jeszcze zakończyć testów weryfikacyjnych.
Co zatem znajdziemy w aktualizacji? Co prawda paczka CU 17 dla Exchange 2013 zawiera głównie hotfixy do zlokalizowanych ostatnio problemów, to w paczce CU6 dla Exchange 2016 zespół zawarł dwa ciekawe rozszerzenia, z których pierwsz od pewnego czasu było dostępne w wersji Exchange Online - Sent Items Behavior Control oraz Original Folder Item Recovery. Zespół produktowy kończy również prace dopasowujące serwery Exchange do pełnej obsługi TLS 1.2, który formalnie ma w najnowszej paczce poprawek rozszerzone wsparcie, jednak koledzy z Redmond nie zachęcają na razie do wyłączenia starszych wersji TLS 1.0 i 1.1. Jeszcze trochę czasu potrzeba, zwłaszcza w kontekście nowej wersji Frameworka.
Oczywiście należy pamiętać, zwłaszcza w środowiskach hybrydowych o aktualizacji Exchange, co ważniejsze również należy aktualizować Framework, o czym pisałem trzy miesiące temu - przypomnę, że mając wersję starszą niż CU15 musimy zainstalować ją w pierwszej kolejności, gdyż nie są kompatybilne z .NetFramework 4.6.2, wymaganym do instalacji nowszych paczek CU.
Tym razem Microsoft nie wydał już aktualizacji do starszych wersji Exchange - grono potencjalnych testerów skurczyło się drastycznie.
Więcej informacji można znaleźć na blogu zespołu produktowego.

24 czerwca 2017

Dziwny problem z Receive Connectorem - MSExchangeTransport error 1040

Kilka dni temu poproszono mnie o zdiagnozowanie problemu z pojawiającymi się na Exchange 2013 błędami transportowymi 1040 dotyczącymi kilku receive connectorów na różnych serwerach.



















Weryfikacji logów i kolejek transporotwych, okazało się że problem (a właściwie fałszywy alarm) wywołuje wprowadzony w CU9 nowy agent transportowy, mający usprawnić proces odpytywania skrzynek testowych (HealthMailbox), tworzonych dla wszystkich baz danych w ramach Managed Availability.










Agent o nazwie System Probe Drop SMTP Agent wymusza dostarczanie maili testowych do Health Mailboxów z pominięciem kolejek transportowych, ale czyni to nieco "brutalnie", kasując odbiorców maila, co powoduje powstawanie w tracking logach zdarzeń typu FAIL.












Momentami, gdy takich zdarzeń jest dużo, jest to wykrywane przez system i zgłaszane jako błąd niedostępności kolejki. Dopóki jednak zdarzenia FAIL dotyczą tylko maili zgłaszanych przez agenta dla poszczególnych skrzynek testowych, nie ma się czym martwić.
Chociaż agent pojawił się w CU9, a za chwilę zostanie wydany CU17, to błędy 1040 nadal się zdarzają. Co ciekawe nie zauważyłem ich na serwerach Exchange 2016, na których również ten agent jest zaimplementowany.
Informacje o takich problemach można znaleźć na blogach wielu specjalistów, np. tutaj i tutaj.

14 czerwca 2017

.Net Framework = kłopoty

Kolejny raz zespół produktowy .Net Framework odtrąbił sukces związany z wprowadzeniem nowej wersji .Net Framework 4.7. Jednak jak pisałem już kilkukrotnie zespoły produktowe Exchange i Skype for Business, nie od razu obsługują najnowsze wersje Frameworka. Chociaż kolejna wersja Cumulative Update jeszcze nie jest gotowa, to nie jest pewne, że będzie ona zapewniała zgodność z tą wersją - dopiero ostatnie poprawki wspierają .Net Framework 4.6.2, a doświadczenie uczy, że przedwczesna aktualizacja .Net Framework (zwłaszcza na serwerach Exchange) może spowodować duże problemy dla administratorów. Zespół produktowy Exchange zaleca tymczasowe zablokowanie instalacji wersji 4.7 oraz przedstawia procedurę naprawczą, co zrobić, gdy już taką instalację popełniliśmy.
Generalnie powinniśmy na wszelki wypadek dodać klucz typu DWORD do rejestru:
HKLM:\Software\Microsoft\NET Framework Setup\NDP\WU\BlockNetFramework47 = 1
Jeżeli nie jesteśmy pewni, czy przypadkiem nie dokonaliśmy aktualizacji Frameworka, możemy użyć skryptu get-dotnetversion.ps1 Michela de Rooij, żeby sprawdzić jaką wersję mamy zainstalowaną. Jak widać na jednym z serwerów dodałem już powyższy klucz do rejestru.

Przy okazji warto zauważyć, że coraz bardziej krytyczne staje się czuwanie nad aktualizacjami Exchange - Microsoft publikuje tylko dwie ostatnie wersje, a patrząc na tablicę zgodności Exchange z wersjami .NEt Frameworka, może okazać się, że aktualizacja starszych wersji Exchange może okazać się bardzo trudna, ze względu na brak źródeł - żeby zainstalować najnowszy CU musimy zaktualizować Frameworka do wersji 4.6.2 (weryfikacja na poziomie setupu), który z kolei jest niekompatybilny np. z Exchange 2013 CU13 i starszymi.