18 stycznia 2017

Exchange 2016 CU3 - problem z ustawieniem zewnętrznej domeny

Konfigurując serwery Exchange już od dawna korzystam ze skryptu, który napisałem jakiś czas temu do ustawiania zewnętrznych nazw dla usług webowych. Dzisiaj jednak na szkoleniu z Exchange 2016, które prowadzę, zwrócono mi uwagę, że nie da się tego zrobić w sposób standardowy, czyli poprzez kreator "Configure External Access Domain" z poziomu Exchange Admin Center.























Okazało się, że faktycznie, do wersji CU3 (w CU4 jest już na szczęście OK) był błąd w pliku ClientAccess\ecp\VDirMgmt\EditExternalCASDomain.aspx (w strukturze katalogów instalacyjnych serwera Exchange) - brakowało filtra, który wyświetlał serwery z rolą Mailbox (oddzielnej roli CAS już w Exchange 2016 nie ma). Po dodaniu do pliku dwóch linii z odpowiednimi parametrami, zgodnie z zaleceniami, podanymi na blogu http://www.weeta.net/post/exchange-2016-cu3-configure-external-access-domain-server-list-empty, można było znaleźć wszystkie serwery w organizacji i dodać im zewnętrzną nazwę.









Niby drobiazg, ale uciążliwy. Na szczęście zostało to poprawione w paiecie poprawek CU4.

02 stycznia 2017

SHA-1 do wymiany

Początek roku przyniesie nam spore zamieszanie w obszarze certyfikatów webowych. Wiele firm korzysta wewnętrznie z urzędów certyfikacji, które zostały zainstalowane kilka, a nawet kilkanaście lat temu, z domyślnym podpisem SHA-1, który od kilku lat jest uznawany za niewystarczający. Producenci przeglądarek od jakiegoś czasu zaczęli ostrzegać użytkowników o tym, że takie certyfikaty są potencjalnie niepoprawne (np. Chrom już od wersji 39 wyświetla ostrzeżenia o błędach certyfikatu). Aktualna wersja (Chrome 50) wyświetla informację, że o błędnym certyfikacie.





Jednak sytuacja diametralnie zmieni się w najbliższych tygodniach. Google ogłosił, że nowa wersja Chrome 56, planowana na koniec stycznia 2017 nie będzie otwierać stron zabezpieczonych certyfikatem z SHA-1.
Podobnie Firefox ogłosił politykę wygaszania wsparcia dla SHA-1, Nowa wersja Firefox 51, planowana do dystrybucji, podobnie jak Chrome 56 w styczniu 2017 ma również blokować dostęp do stron zabezpieczonych certyfikatem wystawionym przez urząd główny z SHA-1.
Co prawda można użyć polis konfiguracyjnych, które pozwolą na dalsze użycie takich certyfikatów, ale nie będzie to dla standardowych użytkowników takie proste.
Do tego trendu dołączył Microsoft, ogłaszając, że w dniu 14 lutego 2017 zostanie wydana poprawka dla przeglądarek Internet Explorer i Edge, która zacznie wyświetlać okno z informacją, że certyfikat jest niezaufany, a w kolejnym kroku blokada będzie całkowita.






















Dokładniejsza informacja na ten temat opublikowana została na stronach Technetu.
Jak się ustrzec przed takimi problemami? Nie pozostaje nic innego niż zmienić certyfikat swojego urzędu certyfikacji, wykorzystując SHA-256 (pamiętajmy o tym że TLS 1.0-1.2 nie wspierają mocniejszych podpisów jak np. SHA-512, więc ustawienie bardzo mocnego algorytmu też nie jest zalecane). Instrukcja jak to zrobić, dostępna jest na stronach Microsoftu, a także na wielu innych blogach.

Nowy rok czas zacząć

Kolejny rok minął, zastanawiam się, czy był udany? Na pewno był ciekawy - APN Promise przeprowadził się do Mordoru, a mój zespół zrealizował całkiem sporo wdrożeń i migracji Exchange i Skype for Business. Udało mi się podnieść i rozwinąć kompetencje w wielu obszarach, głównie w obszarze terminali wideo i narzędzi integracyjnych, SBC i systemów archiwizacyjnych. Starałem się również nadążyć za zmianami w Office 365, Exchange i Skype for Business, co wbrew pozorom nie było takie proste. Udało mi się wziąć udział w kilku ciekawych konferencjach, a nawet ponownie zorganizować Office Server Summit. Na blogu udało mi się również opublikować trochę ciekawych informacji (5000 wyświetleń w ostatnim miesiącu, to może nie jest tyle co u blogerów modowych, ale jak na dosyć specyficzną część IT, do tego po polsku, chyba nie najgorzej), może nie tyle ile chciałem, ale więcej niż w 2015 czy 2014 roku, chociaż dawniej udawało mi się pisać więcej. No ale teraz krótkie info wrzucam na twittera, którego śledzi coraz więcej osób.
W świecie IT też się dużo działo w 2016 roku. O wpływie dobrej zmiany na IT w Polsce nie będę pisać, bo staram się nie mieszać polityki z technologią, wystarczy skupić się na działalności mojego ulubionego producenta z Redmond. Odchodzenie poszczególnych grup produktowych od tworzenia aplikacji na platformę Windows Phone zmusiło mnie to zmiany telefonu na model z Androidem - trudno poznawać i testować nowe aplikacje, jeżeli Microsoft po prostu ich na WP nie robi. Ale przy udziale w rynku < 0,5% i masowych zwolnieniach w tej części korporacji trudno się takiej postawie dziwić.
Zaczął się za to rozwijać obszar telefonii w ramach Office 365. Dodanie Cloud PBX do planów Office, Skype Meeting Broadcast czy też PSTN Conferencing (PSTN Calling nie jest w Polsce dostępne, więc na razie nie ma co się nad tą funkcjonalnością rozwodzić, chociaż warto pamiętać, że w wybranych krajach można dzwonić z chmury bezpośrednio) na pewno mocno rozszerzyło możliwości funkcjonalne Skype for Business Online, a Microsoft Teams uzupełni te możliwości o kolejne obszary.
Pojawił się również Windows Server 2016, a Microsoft we wrześniu na konferencji Ignite ogłosił współpracę tej wersji systemu z Exchange 2016, jednak ze względu na problemy z IIS, dopiero w połowie grudnia instalacja Exchange 2016 na nowej wersji systemu stała się możliwa. Sam padłem ofiarą tych problemów, więc na pewno jeszcze jakiś czas będę się uważnie przyglądał nowej platformie zanim ją zarekomenduję klientom.
Co przyniesie rok 2017? Mam sporo planów, związanych z PEPUG i różnymi technologiami, ale o tym napiszę osobno.

Szczęśliwego Nowego Roku!