Optimalizované IT - portál pro IT pro komunitu

Novinky v Exchange Serveru 2016 - 2. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:10 Zobrazeno: 747
Novinky v Exchange Serveru 2016 - 2. díl - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. V prvním díle jsme si přiblížili změny v architektuře, koncept moderní práce s přílohami, přechod na MAPI over HTTP a v tomto pokračování se společně zaměříme na přepracovaný Outlook on the web a další dílčí vylepšení.

Číst dál: Novinky v Exchange Serveru 2016 - 2. díl

Novinky v Exchange Serveru 2016 - 1. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:00 Zobrazeno: 786
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. Je založen na stejných principech jako Exchange Server 2013 včetně např. modelu zajištění vysoké dostupnosti DAG (Database Availability Group), ale drobných změn a vylepšení najdeme v tomto produktu velké množství, a ty nejvýznamnější si shrneme v tomto článku.

Pro pochopení směřování je také důležité vysvětlit termín často skloňovaný právě v souvislosti s Exchange Serverem 2016 – „zrozen v cloudu“. Veškerý rozvoj je opravdu v dnešní době zaměřen primárně na platformu Exchange Online, která je součástí veřejného cloudu Office 365. Inovace jsou prováděny kontinuálně na základě uživatelské zpětné vazby. Řada v tomto článku popisovaných funkcí je v rámci Exchange Online již k dispozici delší dobu a novinkou je tak pouze pro nasazení On-Premises. Jako velkou výhodu tak vnímám to, že při migraci na Exchange Server 2016 nejsme v pozici beta testerů, kteří se mohou obávat, že nové funkce budou mít své porodní bolesti. Naopak dostáváme do ruky produkt, který je provozem v cloudu perfektně odladěn na mnoha desítkách miliónů produkčních schránek.

Číst dál: Novinky v Exchange Serveru 2016 - 1. díl

Exchange Server 2016: přecházíme na Kerberos

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 27. 8. 2016 12:45 Zobrazeno: 2015
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Klient Microsoft Outlook ve všech podporovaných verzí umí použít pro autentizaci NTLM i Kerberos. Je nastaven tak, že se snaží domluvit s Exchange Serverem na nejlepší možné autentizaci, a tu následně použije. S překvapením ale můžeme zjistit, že ve výchozí konfiguraci to není osvědčený Kerberos, ale naopak zastaralejší forma autentizace NTLM, která je použita během připojení Outlooku k Exchange Serveru.

V tomto článku si detailně ukážeme jak přejít na doporučený způsob ověřování pomocí modernějšího protokolu Kerberos.

Proč je vlastně Kerberos lepší?

NTLM (NT Lan Manager) je historicky starší a kvalitativně a bezpečnostně horší mechanismus ve srovnání s moderním protokolem Kerberos primárně z následujících důvodů:

  • Vytváří výrazně vyšší zátěž na doménové řadiče – každá jednotlivá navazovaná relace znamená kontaktování doménového řadiče. Při opakovaném vypnutí/zapnutí Microsoft Outlook se znovu kontaktuje opakovaně doménový řadič. V porovnání s tímto je Kerberos výrazně efektivnější, protože uživatel dostane jednorázově Kerberos session tiket, který má platnost 10h a není tak nutné v jakékoliv situaci doménový řadič znovu kontaktovat.
  • Výpadky autentizace – doménové řadiče mají své limity v počtu současně prováděných NTLM autentizací a v prostředích, kde je mnoho set či více uživatelů, může dojít dočasně k vyčerpání tohoto limitu a uživatelům se místo SSO zkušenosti objevuje náhodně dialog pro zadání přihlašovacích údajů.
  • NTLM je méně bezpečné – NTLM používá slabší kryptografii, oproti tomu Kerberos je postavený primárně na použití velmi silného algoritmu AES.
  • Při použití NTLM klient předává přihlašovací údaje Exchange Serveru, který je následně předává doménovému řadiči. Naše přihlašovací údaje tak putují chráněné slabou kryptografií mezi servery v rámci sítě. V rámci Kerberos autentizace probíhá komunikace pouze mezi klientem a doménovým řadiče a směrem k Exchange Serveru se již prokazujeme pouze platným Kerberos tiketem.

Doporučení je tedy přejít na Kerberos autentizace, což je proces, který se skládá z následujících kroků.

Vytvoření ASA (Alternate service account ) účtu

Musíme si vytvořit v Active Directory pomocný účet, který bude nositelem informace o jménech SPN (Service Principal Name), která na Exchange Serveru používáme. Je možné použít uživatelský účet i počítačový účet, z bezpečnostních důvodů je doporučeno použít účet počítače. ASA účet vytvoříme pomocí následujících příkazů:

· Import-Module ActiveDirectory

· New-ADComputer -Name EXCH2016ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2016ASA

· Set-ADComputer EXCH2016ASA -add @{"msDS-SupportedEncryptionTypes"="28"}

Identifikace SPN

K vytvořenému ASA účtu bude nutná přiřadit správná SPN. Je vhodné si tedy předem udělat soupis všech jmen, která Outlook používá při přístupu na Exchange Server. Konkrétně se jedná o služby: Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover a Offline Address Book Obvykle to bývá:

· http/autodiscover.kpcs.cz (Autodiscover)

· http/mail.kpcs.cz (Outlook Anywhere externě, MAPI over http externě , Exchange Web Services a Offline Address Book)

· http/outlook-int.kpcs.cz (Outlook Anywhere interně, MAPI over http interně)

Poznámka: mít jiné jméno pro přístup k Outlook Anywhere a MAPI over http interně není nezbytně nutné, ale pokud chceme mít jinak nastavenou autentizaci pro interní přístup (Kerberos) a jinak pro externí přístup (NTML nebo Basic), musí umět Outlook rozlišit, kdy přistupuje interně a kdy interně. Jediné řešení je definice tohoto nového interního jména, které není přeložitelné z Internetu.

Přiřazení ASA účtu k jednotlivým Exchange serverům

· Spusťte EMS na Exchange Serveru 2016

· Změňte aktuální složku na <Exchange 2016 installation directory>\V15\Scripts, obvykle cd "C:\Program Files\Microsoft\Exchange Server\V15\Scripts"

· Spusťte .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex1.kpcs.cz -GenerateNewPasswordFor kpcs\EXCH2016ASA$

· Na každém dalším Exchange Serveru 2016 pak .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex2.kpcs.cz -CopyFrom ex1.kpcs.cz

1 Přířazení účtu ASA k Exchange serverům

Obrázek 1 Přiřazení účtu ASA k Exchange serverům

Přiřazení SPN k ASA účtu

K přiřazení SPN k ASA účtu doporučuji použít příkaz SetSPN, který nejenom, že nám definovaná jména zaregistruje, ale také provádí kontrolu, zda neexistuje v Active Directory duplicita, která by způsobila nefunkčnost autentizace.

· setspn -S http/autodiscover.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/mail.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/outlook-int.kpcs.cz KPCS\EXCH2016ASA$

2 Přířazení SPN k účtu ASA

Obrázek 2 Přiřazení SPN k účtu ASA

Povolení Kerberos autentizace pro Outlook Anywhere a MAPI over HTTP

Pro Outlook Anywhere a MAPI over HTTP povolíme autentizaci pomocí Negotiate. Důsledkem bude již finální přepnutí klientů na Kerberos.

· Get-OutlookAnywhere -Server EX2016 | Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate -ExternalClientAuthentication NTLM

· Get-MapiVirtualDirectory -Server EX2016 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate

Ověření

Osobně pro ověření používám 2 základní metody:

· Na klientovi si spustím klist.exe a dívám se, zda má vydané Keberos tikety s Exchange SPN.

· Podívám se stavu připojení, které hlásí Microsoft Outlook. Ve sloupečku AUTH se nám místo NTLM objeví Nego*.

3 Kerberos - ověření klienta

Shrnutí

Exchange Server 2016 používá po instalaci a standardní konfiguraci v rámci připojení Outlooku bohužel pouze zastaralou autentizaci pomocí NTLM, která vykazuje hned celou řadu nevýhod. Přechod na Kerberos autentizaci je ale nejen plně podporovaným scénářem, ale také rozhodně doporučeným. V tom článku jsme si ukázali kompletní postup, jak tuto důležitou změnu provést.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Publikace Exchange Serveru 2016 pomocí WAP

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 7. 2016 12:49 Zobrazeno: 2235
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Řada zákazníků dodnes ve svých prostředích udržuje produkt Forefront TMG, přestože již u něj vypršelo období standardní podpory a nová verze tohoto software již nebude. Důvodem je obvykle to, že není k dispozici něco, čím by bylo možné TMG plnohodnotně nasadit. TMG ale plní celou škálu různých funkcí a pokud používáte jen některé z nich, je klidně možné, že náhrada existuje. V tomto článku se zaměříme na náhradu Forefront TMG v režimu reverzní proxy pro bezpečné publikování služeb Exchange Serveru. Touto náhradou bude v našem scénáři Web Application Proxy (WAP) – role operačního systému Windows Server 2012 R2.

1 Možnosti náhrady TMG

Obrázek 1 Přehled možností náhrady TMG v jednotlivých scénářích

Začlenění WAP do publikace Exchange Serveru nám přinese tyto výhody:

· SSL bridging

· Ochrana proti DOS útoků

· Pre-autentizace (pouze pro Outlook on the web)

Předpoklady řešení

Pro nasazení je nutné splnit následující předpoklady:

· Zajistit certifikát pro ADFS

· Mít funkční ADFS řešení

· Nainstalovaná funkce WAP (Web Application Proxy)

Instalace ADFS

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2, který je součástí Active Directory domény

· Na tomto serveru si vystavíme certifikát na jméno ADFS služby např. adfs.kpcs.cz

· Přidáme A záznam do DNS, který umožní přeložit jméno adfs.kpcs.cz na IP adresu nového serveru

· Nainstalujeme roli ADFS (Active Directory Federation Services)

2 ADFS - nastavení certifikátu

Obrázek 2 ADFS - nastavení certifikátu

Přidáme v ADFS Non-Claims-Aware Relying Party Trust

 

3 ADFS - Non-Claims-Aware Relying Party Trust

Obrázek 3 ADFS - Non-Claims-Aware Relying Party Trust

A vytvoříme autorizační pravidlo, které povolí přístup všem uživatelům.

 

4 ADFS - Permit All Users

Obrázek 4 ADFS - Permit All Users

Instalace WAP

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2

· Na tento server naimportujeme certifikát pro ADFS i pro Exchange

· Nainstalujeme roli Remote Access – Web Application Proxy

· Povolíme Kerberos Delegation na účtu WAP serveru pro Exchange ASA

Po instalaci a zprovoznění WAP vypublikujeme Outlook on the Web a ECP s pre-autentizací pomocí AD FS

5 WAP - publikace OWA

Obrázek 5 WAP - publikace OWA

Další Exchange služby vypublikujeme již pouze jako Pass-through, neboť pre-autentizace pro další služby v současné době není prostřednictvím WAP podporovaná.

 

6 WAP - publikace všech Exchange služeb

Obrázek 6 WAP - publikace všech Exchange služeb

Konfigurace Exchange a otestování

V rámci Exchange serveru musíme mít funkční Kerberos autentizaci a je nutné na OWA a ECP zapnout Windows Integrated autentizaci. Dále již jen stačí do externí DNS přidat záznam, který bude odkazovat exmail.kpcs.cz na WAP server a můžeme otestovat. Při zadání https://exmail.kpcs.cz/owa se nám musí objevit formulář ADFS a po zadání přihlašovacích údajů jsme korektně ověření do OWA prostřednictvím WAP.

 

7 Přihlašení do OWA pomocí WAP

Obrázek 7 Přihlašení do OWA pomocí WAP

Shrnutí

Je škoda, že v tuto chvíli je možné s pre-autentizací vypublikovat z Exchange služeb pouze Outlook on the web a ECP. Ostatní Exchange služby musí být nastavené v režimu Pass-through. I tak je určitě WAP dobrá cesta, jak nahradit TMG server v roli reverzní proxy pro publikování Exchange služeb do Internetu.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Skype for Business přichází

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 15. 4. 2015 19:46 Zobrazeno: 1722
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

imageSpolečně s aktuální dubnovou dávkou aktualizací společnost Microsoft vydala aktualizaci Lync klienta - Skype for Business. Tímto se obě komunikační platformy přibližují. Serverová část prozatím není dostupná, nicméně to by se ještě do poloviny roku mělo změnit. Po tomto datu začnou být aktualizovány i služby Microsoft Office 365. Klient pro MAC a další platformy bude dostupný na přelomu roku 2016 s vydáním finální verze Office 2016 for MAC. V mezičase budou také vydány verze pro mobilní telefony. Nyní několik obrázků z prvního spuštění klienta Skype for Business, který bez problémů spolupracuje s aktuálními verzemi Office 365 a Lync server.

image

image

image

image

image

image

image

image

image

image

Jak na virtualizaci Exchange 2013

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 10. 11. 2013 5:43 Zobrazeno: 3415
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

image “Byl objeven” zajímavý dokument z dílny Microsoftu, který na více jak 90ti stranách popisuje jak na virtualizaci Exchange 2013. Dokument se zaměřuje na všechny důležité aspekty, které je nutné brát na zřetel s ohledem na virtualizaci (konkrétně Hyper-V) a Exchange. Počínaje konfiguracemi HW, SAN, LAN, přes vysokou dostupnost virtualizace (clustering), předpoklady pro virtualizace jednotlivých rolí Exchange serveru, až po spolupráci a monitoring pomocí System Center. Kompletní dokument je k dispozici zde: http://download.microsoft.com/download/4/A/C/4AC32FD3-220E-45DC-AA97-DBDBE19C15B2/Best_Practices_for_Virtualizing_and_Managing_Exchange_2013.pdf

Dokument je koncipován jako Best practice guide.

Office 365

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 6. 3. 2011 14:31 Zobrazeno: 8534
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V první polovině tohoto roku se objeví komerčně dostupná další verze cloudových služeb vycházející z MS BPOS - Business Productivity Online Suite. Služby jsou postavené na posledních verzích aplikačních serverů jako je Exchange server 2010, Sharepoint server 2010 a Lync server 2010. Došlo tedy jednak k upgrade verzí serverů (Exchange 2007 na Exchange 2010 atp.), v případě sharepoint technologie i k přechodu na verzi s větší funkcionalitou (Sharepoint Services x Sharepoint Server). Klientskou aplikací jsou jednak Office Web Apps a plnohodnotným klientem je Office 2010. Služby jsou poskytované z datových center Microsoftu, v našem případě z Irska (Dublin) a Belgie (Amsterdam - záložní centrum). Garantovaná dosupnost služeb je 99,9%. Služby se nabízejí celkem v sedmi balíčcích nazývaných plány. Tyto plány jsou označeny jako P (Professional), K1 (K - jako Kiosk), K2, E1 (E jako Enterprise), E2, E3, E4. Služby obsažené v těchto balíčcích lze však zakoupit i jednotlivě. Podrobnější informace o licencování najdete zde .

Microsoft Lync Server 2010

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 26. 9. 2010 5:44 Zobrazeno: 7027
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

 

Následující článek byl přednostně publikován v rámci Microsoft Technet Flash magazínu.

Najdete jej zde .

Microsoft Lync server 2010 – první info

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 4. 9. 2010 8:02 Zobrazeno: 9878
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Horkou novinkou konce letošního roku bude bezesporu nástupce Microsoft Office Communications serveru, který je aktuálně ve verzi 2007 R2.
Jednou ze spekulací je, jaké jméno pro tento produkt Microsoft zvolí, zatím tedy používejme označení Communications server 14 (CS 14).
Na konferenci TechEd 2010 v New Orleans již byly veřejně prezentovány novinky o CS 14. Novinky v oblasti podpory koncových zařízení najdete již na našem blogu.

Microsoft Communications server 14 – novinky v oblasti zařízení III.

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 2. 9. 2010 6:44 Zobrazeno: 6687
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V této části seriálu se podíváme na to, jakým způsobem fungují telefony typu “telefon pro veřejné prostory“  (Polycom CX500, Aastra 6721 iP) . Tento typ telefonů společně s CS 14 umožňuje následující funkce:
- možnost pre-konfigurace administrátory
- možnost konfigurace řízení hovorů
- blokování použití telefonu mimo interní síť
- minimální potřeba konfigurace uživatelem, např. recovery po výpadku proudu
- podpora scénáře “hotdesk” (použití  telefonu více lidmi s vlastními profily)

Nasazení tohoto typu telefonu potom probíhá následujícím scénářem:

Snímek27

 

V tomto okamžiku je telefon připraven k použití, zatím s ním nepracuje žádný uživatel.
Ukažme si nyní, jak může fungovat telefon ve veřejných prostorách ve scénáři nazvaném “hotdesk”.

UNC208


Podívejme se nyní na screeny z telefonu Polycom CX500, uvidíme tedy celý scénář pohledem koncového uživatele.
Níže jsou obrázky, pokud je telefon ve stavu “Veřejné prostory” .

image

Uživatel zadá svoje telefonní číslo.
image

Je vyzván, aby vložil PIN ke svému číslu.

image

Telefon je převeden ze stavu “veřejné prostory” do stavu pokročilé komunikace.

image

Uživatel může využívat všech jemu povolených vlastností, včetně přístupu ke svým kontaktům, kalendáři, hlasové poště atd. Na telefon se nyní neuplatňuje politika “common area”, ale politika pro daného uživatele.

V další části seriálu se podíváme na konferenční telefony, reporting zařízení a pravděpodobný model licencování zařízení.

Příspěvky jsou připravovány podle materiálů zveřejněných na konferenci TechEd 2010 North America, která se konala v New Orelans.

Strana 1 z 2

Přihlašovací formulář