21 czerwca 2019

Czerwcowe poprawki do Exchange

Wczoraj Microsoft opublikował kolejną porcję poprawek do serwerów Exchange:

Żaden z Cumulative Update'ów nie rozszerza schematu, jednak ze względu na modyfikację uprawnień (poprawki wprowadzają dodatkowe ograniczenia uprawnień dla Exchange w Active Directory), należy uruchomić setup /preparead.
Oprócz modyfikacji uprawnień, pakiety wprowadzają wsparcie dla .Net Framework 4.8, przy wymogu posiadanie wersji 4.7.2 na serwerze do zainstalowania aktualizacji (oczywiście jak w poprzednich aktualizacjach niezbędny jest również runtime Visual C++ 2012). Dodatkowo dla wersji 2016/2019 pozwalają na ograniczanie widoczności folderów publicznych dla użytkowników (tak jak od niedawna jest możliwe w Exchange Online) oraz mają pozwalać na wyłączanie starszych protokołów dostępowych (szczegóły mają być niebawem udostępnione na blogu zespołu produktowego).
Jednocześnie dla Exchange 2010 została wydana poprawka bezpieczeństwa, jako Exchange 2010 SP3 RU28, opisana w KB4503028. Poprawkę można pobrać z tej lokalizacji. Poprawka rozwiązuje problem opisany w Security Advisory ADV190018. Jest ona również zawarta w najnowszych aktualizacjach zbiorczych dla pozostałych wersji, opisanych wcześniej w poście. 


17 kwietnia 2019

Kwietniowe poprawki bezpieczeństwa dla Exchange

Kilka dni temu przy okazji cyklicznego święta "patch Tuesday", pojawiły się poprawki bezpieczeństwa dla wszystkich wspieranych wersji Exchange, które rozwiązują problem opisany w poniższych artykułach:
Warto pamiętać, że poprawki zostały przygotowane tylko dla najnowszych i N-1 wersji systemów, więc warto instalować pakiety CU na bierząco. Poniżej lista dostępnych poprawek i odpowiednie artykuły w bazie wiedzy Microsoft:

Wersja Exchange

Build
Artykuł KB
Lokalizacja poprawki
CVE-2019-0817
CVE-2019-0858
Exchange 2019 CU1
15.2.330.7
Yes
Yes
Exchange 2019
15.2.221.16
Yes
Yes
Exchange 2016 CU12
15.1.1713.6
Yes
Yes
Exchange 2016 CU11
15.1.1591.16
Yes
Yes
Exchange 2013 CU22
15.0.1473.4
Yes
Yes
Exchange 2010 SP3 RU27
14.3.452.0
Yes
No
Jak widać w powyższej tabeli, poprawka dla wersji Exchange 2010, nie rozwiązuje problemu opisanego w CVE-2019-0858. Rozszerzone wsparcie dla tej wersji systemu kończy się już za 9 miesięcy (14 stycznia 2020) i od tego dnia żadne aktualizacje nie będą publikowane.

15 kwietnia 2019

Global Azure Boot Camp 2019


Idą Święta a po Świętach nadciąga Global Azure Boot Camp. Już 27 kwietnia w kilku polskich miastach również odbędą się eventy z tego cyklu - między innymi w WarszawieŁodzi i Poznaniu. Ja serdecznie zapraszam na spotkanie w Poznaniu, gdzie będę opowiadać o hybrydowym uwierzytelnieniu w usługach chmurowych. Rejestrować można się tutaj.


31 marca 2019

Instalacja poprawek dla Skype for Business w trybie wysokiej dostępności

Instalacja poprawek dla Skype for Business (wcześniej również dla Lync) z pozoru jest prostym zadaniem dla administratora. W przypadku systemu operacyjnego, lokalnych instancji SQL Express czy np. .Net Framework instalacja aktualizacji czy poprawek proces jest stosunkowo prosty z punktu widzenia technicznego i jeżeli nie wymaga restartu serwera, to dla użytkowników systemu nie ma przerwy w dostępie do usług. Instalacja poprawek dla Skype for Business wymaga wyłączenia usług na danym serwerze, a to już użytkownicy zauważą. Jeżeli system pracuje w godzinach biurowych jako platforma komunikacji IM, to nie jest to duży problem. Jednak w przypadku gdy system świadczy również usługi głosowe i konferencyjne, a na dodatek musi pracować w trybie 7x24, to wymagane są nie tylko dodatkowe serwery - poole typu Enterprise, ale i dodatkowe kroki przygotowawcze.
Zespół produktowy Skype for Business (wcześniej również Lync) wyszedł naprzeciw oczekiwaniom bardziej wymagających klientów i wprowadził mechanizmy zarówno wysokiej dostępności, połączonej z rozłożeniem obciążenia - wieloserwerowe pule typu Enterprise (rysunek poniżej)













jak i disaster recovery (jakoś nie przepadam za polskim tłumaczeniem tego określenia) realizowane poprzez parowanie pul (kolejny rysunek).










Parowanie pul polega na replikowaniu informacji o użytkownikach rejestrujących się w danej puli i w przypadku awarii przełączenie ich na zapasową bazę w drugiej puli, co pozwala w miarę bezproblemowo kontynuować pracę (w trakcie przełączenia użytkownik jest na chwilę wylogowywany). Konfigurację taką można zastosować nawet na pulach typu standard (parowanie działa w obie strony, czyli użytkownicy pracują w obu pulach, które nawzajem się zabezpieczają).
Wdrożenie pul wieloserwerowych wymaga znaczącego zwiększenia kosztów wdrożenia - dodatkowe maszyny Windows Server, licencje na dodatkowe serwery Skype for Business, obowiązkowy load balancer oraz zewnętrzny serwer SQL w wersji co najmniej Standard. Oczywiście chcąc zapewnić pełną wysoką dostępność SQL powinien być również wdrożony w konfiguracji clustrowej (dla Skype for Business 2019 mirroring nie jest wspierany, zalecana konfiguracja to grupy Always On). Jednak w przypadku środowiska, gdzie Skype for Business jest podstawową platformą komunikacyjną i konferencyjną, jest to naprawdę dobra inwestycja.
Mając sparowane pule serwerowe możemy wykonać operację pool failover na czas instalacji poprawek, a po jej zakończeniu failback, wtedy użytkownik tylko na czas przełączenia na chwilę traci dostęp do zasobów.
Trochę wstęp mi się rozwinął, więc więcej szczegółów na temat procedur operacyjnych przedstawię w drugiej części artykułu.

Marcowa aktualizacja Skype for Business

Lekko spóźniona informacja ale na pewno przydatna. Trochę po cichu Microsoft wydał kolejną poprawkę dla Skype for Business 2015. Tak naprawdę różni się ona od styczniowej paczki tylko uzupełnieniem o załatanie podatności opisanych w artykułach:
Instalację można zrealizować jak zwykle poprzez uruchomienie instalatora
Download the March 2019 Cumulative Server Update Installer

Oczywiście warto wcześniej przeczytać uważnie artykuł Updates for Skype for Business 2015. Ja również postanowiłem napisać parę własnych przemyśleń na temat procesu aktualizacji.

12 lutego 2019

Lutowe aktualizacje dla Exchange

Ostatnio zespół Exchange nie miał szczęścia do zabezpieczeń. Pomimo opublikowania w styczniu poprawek bezpieczeństwa, o czym pisałem już na blogu, została odkryta kolejna, bardzo niebezpieczna podatność, nad załataniem której zespół Exchange pracował w ostatnich dniach bardzo intensywnie.
Przypomnę, że podatność pozwala napastnikowi użyć subskrypcji EWS, żeby użyć konta serwera Exchange do zaatakowania kontrolera domeny, gdzie (jeżeli nie jest wdrożony model split permission) konta serwerów Exchange mają całkiem spore uprawnienia - dokładniej jest to opisane w podlinkowanym wcześniej artykule.
Na szczęście dzisiaj pojawiły się niezbędne poprawki do czterech wersji Exchange (nieszczęśni ci, co używają jeszcze wersję 2007). Pomimo wcześniejszych obietnic (znowu), zespół Exchange się złamał i ze względu na specyfikę poprawki dla wersji 2013 pojawił się CU22 dla wersji 2016 i 2019 poprawki zostały również wydane jako pakiety zbiorcze aktualizacji.
Sposób instalacji aktualizacji też jest niecodzienny - ze względu na wprowadzane zmiany, instalator należy uruchomić z przełącznikiem /PrepareAD, w celu wykonania odpowiednich kroków zabezpieczających w strukturze Active Directory. Ponadto Microsoft po zainstalowaniu poprawki zaleca zresetowanie haseł dla kont serwerów Exchange w domenie. Administratorzy zarządzający swoim środowiskiem przy pomocy Powershell 5.1 mogą użyć cmdleta reset-computermachinepassword, dla starszych wersji systemów możemy użyć netdom lub konsoli ADUC. Podobnie jak w przypadku poprzednich pakietów Cumulative Update należy zainstalować najpierw runtime Visual C++ 2012. Poniżej odnośniki do odpowiednich artykułów i samych poprawek. Warto przypomnieć, że aktualizacje dla Exchange 2019 pobierane są z centrum umów wolumenowych, a nie z ogólnej strony pobrań jak w przypadku starszych wersji..
Exchange Server 2019 Cumulative Update 1 (KB4471391), VLSC Download
Exchange Server 2016 Cumulative Update 12 (KB4471392), Download, UM Lang Packs
Exchange Server 2013 Cumulative Update 22 (KB4345836), Download, UM Lang Packs
Exchange Server 2010 Service Pack 3 Update Rollup 26 (KB4487052), Download

11 stycznia 2019

Styczniowy pakiet aktualizacji dla Skype for Business Server 2015 wydany

Kilka dni temu Microsoft wydał kolejny pakiet Cummulative Update dla Skype for Business 2015. Lista poprawek jest naprawdę długa, większość z nich usuwa znalezione w ostatnich miesiącach  błędy, jak dla mnie jednak najciekawsza jest poprawka wyrównująca funkcjonalność z wersją SfB 2019 - możliwość bezpośredniego migrowania użytkowników do Teams. Pełna lista poprawek jest dostępna w artykule KB, a pakiet aktualizacyjny można pobrać z tego miejsca. Podobnie jak poprzednia poprawka, pakiet CU8 wymaga posiadania .Net Framework w wersji co najmniej 4.5.2. Warto również zauważyć, że nowy pakiet aktualizacji rozwiązuje problem występujący w organizacjach używających SQL 2008  R2 (problem ten uniemożliwiał instalację poprawku CU7).
Równolegle Microsoft udostępnił aktualizacje dla Lync Servera 2013. W tym przypadku lista zmian jest dużo skromniejsza, ale oczywiście dobrze jest mieć system zaktualizowany. Pakiet można pobrać z tej lokalizacji.

09 stycznia 2019

Styczniowe poprawki bezpieczeństwa dla serwerów Exchange

Co prawda do wydania kolejnych Cummulative Updates dla Exchange (już tylko 2016 i 2019) zostało jeszcze sporo czasu, ale pojawiły się wczoraj aktualizacje bezpieczeństwa dla wszystkich wspieranych wersji Exchange (przypomnę, że 2010 i 2013 mają już tylko rozszerzone wsparcie, więc będą otrzymywać tylko poprawki bezpieczeństwa). Poprawka bezpieczeństwa dla Exchange 2010, wydana jako Update Rollup 25 dla Exchange 2010 SP3, łata dziurę ogłoszoną w CVE-2019-0588, która dotyczy udostępniania kontrybutorom kalendarzy zbyt dużych uprawnień przez Powershell API. Oczywiście RU 25 zawiera również zbiorcze poprawki zawarte w poprzednich paczkach aktualizacji, Poprawkę można pobrać z tego linku.
Poprawka dla nowszych wersji Exchange, zawiera dodatkowo rozwiązanie problemu przedstawionego w artykule CVE-2019-0586, który dotyczy nieprawidłowej obsługi pamięci i może doprowadzić do uruchomienia przez napastnika kodu w kontekście użytkownika systemowego. Więcej informacji na ten temat można znaleźć w artykule pomocy technicznej. Poniżej linki do pobrania poprawek:

01 stycznia 2019

Podsumowanie roku 2018 - coś się kończy, coś się zaczyna

Jak co roku przyszedł czas na podsumowanie roku 2018 i próbę prognozowania tego, co przyniesie rok 2019. Pozwoliłem sobie na cytat z jednego z ulubionych autorów, a powód za chwilę się ujawni.
Rok 2018 prywatnie był dla mnie trudny - matura i rekrutacja na studia, egzaminy gimnazjalne i rekrutacja do liceum (na szczęście córki dostały się tam gdzie chciały, ale stres był), trochę chorób w rodzinie, sam też po kilku latach pracy na 250% normy zacząłem wykazywać braki kondycyjne. Starałem się jednak integrować z rodziną i trochę się ukulturalniać, dużym przeżyciem było przedstawienie "Notre Dame de Paris" no i wspaniała wycieczka objazdowa po krajach Beneluxu - Brugia i Gandawa były niesamowite, Bruksela piękna, choć zatłoczona, a do Amsterdamu zawsze  chętnie zaglądam, nawet gdy pada. Chociaż trzeba przyznać, że temperatury w tym roku, jak w całej Europie były dużo wyższe niż się spodziewałem, co nieco utrudniało cieszenie się krajobrazami.
Stojąc codziennie dwie godziny w korkach, przesłuchałem całkiem sporo książek, nawet więcej niż miałem w pierwotnych planach, parę udało mi się przeczytać tradycyjnie (chociaż dla moich córek czytanie ebooków na Kindle'u nie jest ciągle tradycyjną formą czytania) i chociaż rozrzut tematyczny był całkiem spory, to oprócz pozycji, które czytałem dla zabawy - lubię zarówno kryminały jak i różnorodne formy fantastyki, dostałem sporo informacji do przemyśleń z pozycji poświęconych biznesowi.
Co udało mi się w tym roku osiągnąć? Całkiem sporo  - po raz 12 Microsoft nagrodził mnie tytułem MVP, a nieco wcześniej po kilkuletniej przerwie udało mi się wziąć udział w MVP Summit i poznać plany grup produktowych dotyczące rozwoju systemów Office Servers 2019.  Później brałem udział w testach kolejnych wersji beta Exchange Server 2019, Skype for Business 2019 oraz wielu nowych funkcjonalności Microsoft Teams. Udało mi się również ponownie zorganizować Office Servers Summit, choć nieco mniejszy niż chciałem, ale konferencja była ciekawa. Nieco zaniedbałem cykliczne spotkania PEPUG, jednak przy okazji Microsoft Tech Summit Warsaw udało się zrealizować wspólnie z grupą Powershell spotkanie z Jeffreyem Snoverem - ojcem Powershella.
Poprowadziłem również prezentacje na kilku konferencjach w Polsce, a na Microsoft Ignite prezentowałem rozwiązania video dla Microsoft Teams na stoisku grupy produktowej oraz pomagałem uczestnikom laboratoriów. Wspaniałe doświadczenie.
Wracając do biznesu i technologii - na pewno w roku 2018 premiery Windows Server 2019 (chociaż ze spektakularną wpadką), Exchange 2019, Skype for Business 2019 i Sharepoint 2019 było bardzo ważnymi wydarzeniami, jednak spektakularne zmiany w Microsoft Teams oraz usługach Azure przyćmiły te premiery. Na pewno wiele blogów technologicznych przeprowadzi bardziej szczegółowe porównania, pokazując trendy bardziej profesjonalnie. Ale w 2019 roku jak dla mnie bardzo istotnym trendem będzie wypieranie Skype for Business Online przez Microsoft Teams - Microsoft rozpoczął w listopadzie proces migracji tenantów nie większych niż 500 użytkowników, a partnerzy mają migrować stopniowo większe organizacje. Coraz więcej organizacji przenosi się do chmury, więc Exchange 2019 raczej nie zrobi furory w najbliższym roku (zwłaszcza że próg wejścia jest duży - nowy Exchange działa tylko na Windows Server 2019, co wymusza aktualizację Windows CAL i spore koszty z tym związane). Więc ci, co nie chcą przejść do Office 365 będą się umacniać na platformie Exchange 2016 (od pół roku nie ma już Cummulative Update'ów dla Exchange 2013).
Ja również po wielu latach skupiania się przede wszystkim na platformie Exchange, będę teraz zajmować się zawodowo usługami powiązanymi ze Skype for Business, rozpoczynając nową pracę.