Optimalizované IT - portál pro IT pro komunitu

Novinky v Exchange Serveru 2016 - 2. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:10 Zobrazeno: 914
Novinky v Exchange Serveru 2016 - 2. díl - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. V prvním díle jsme si přiblížili změny v architektuře, koncept moderní práce s přílohami, přechod na MAPI over HTTP a v tomto pokračování se společně zaměříme na přepracovaný Outlook on the web a další dílčí vylepšení.

Číst dál: Novinky v Exchange Serveru 2016 - 2. díl

Novinky v Exchange Serveru 2016 - 1. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:00 Zobrazeno: 966
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. Je založen na stejných principech jako Exchange Server 2013 včetně např. modelu zajištění vysoké dostupnosti DAG (Database Availability Group), ale drobných změn a vylepšení najdeme v tomto produktu velké množství, a ty nejvýznamnější si shrneme v tomto článku.

Pro pochopení směřování je také důležité vysvětlit termín často skloňovaný právě v souvislosti s Exchange Serverem 2016 – „zrozen v cloudu“. Veškerý rozvoj je opravdu v dnešní době zaměřen primárně na platformu Exchange Online, která je součástí veřejného cloudu Office 365. Inovace jsou prováděny kontinuálně na základě uživatelské zpětné vazby. Řada v tomto článku popisovaných funkcí je v rámci Exchange Online již k dispozici delší dobu a novinkou je tak pouze pro nasazení On-Premises. Jako velkou výhodu tak vnímám to, že při migraci na Exchange Server 2016 nejsme v pozici beta testerů, kteří se mohou obávat, že nové funkce budou mít své porodní bolesti. Naopak dostáváme do ruky produkt, který je provozem v cloudu perfektně odladěn na mnoha desítkách miliónů produkčních schránek.

Číst dál: Novinky v Exchange Serveru 2016 - 1. díl

Exchange Server 2016: přecházíme na Kerberos

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 27. 8. 2016 12:45 Zobrazeno: 2194
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Klient Microsoft Outlook ve všech podporovaných verzí umí použít pro autentizaci NTLM i Kerberos. Je nastaven tak, že se snaží domluvit s Exchange Serverem na nejlepší možné autentizaci, a tu následně použije. S překvapením ale můžeme zjistit, že ve výchozí konfiguraci to není osvědčený Kerberos, ale naopak zastaralejší forma autentizace NTLM, která je použita během připojení Outlooku k Exchange Serveru.

V tomto článku si detailně ukážeme jak přejít na doporučený způsob ověřování pomocí modernějšího protokolu Kerberos.

Proč je vlastně Kerberos lepší?

NTLM (NT Lan Manager) je historicky starší a kvalitativně a bezpečnostně horší mechanismus ve srovnání s moderním protokolem Kerberos primárně z následujících důvodů:

  • Vytváří výrazně vyšší zátěž na doménové řadiče – každá jednotlivá navazovaná relace znamená kontaktování doménového řadiče. Při opakovaném vypnutí/zapnutí Microsoft Outlook se znovu kontaktuje opakovaně doménový řadič. V porovnání s tímto je Kerberos výrazně efektivnější, protože uživatel dostane jednorázově Kerberos session tiket, který má platnost 10h a není tak nutné v jakékoliv situaci doménový řadič znovu kontaktovat.
  • Výpadky autentizace – doménové řadiče mají své limity v počtu současně prováděných NTLM autentizací a v prostředích, kde je mnoho set či více uživatelů, může dojít dočasně k vyčerpání tohoto limitu a uživatelům se místo SSO zkušenosti objevuje náhodně dialog pro zadání přihlašovacích údajů.
  • NTLM je méně bezpečné – NTLM používá slabší kryptografii, oproti tomu Kerberos je postavený primárně na použití velmi silného algoritmu AES.
  • Při použití NTLM klient předává přihlašovací údaje Exchange Serveru, který je následně předává doménovému řadiči. Naše přihlašovací údaje tak putují chráněné slabou kryptografií mezi servery v rámci sítě. V rámci Kerberos autentizace probíhá komunikace pouze mezi klientem a doménovým řadiče a směrem k Exchange Serveru se již prokazujeme pouze platným Kerberos tiketem.

Doporučení je tedy přejít na Kerberos autentizace, což je proces, který se skládá z následujících kroků.

Vytvoření ASA (Alternate service account ) účtu

Musíme si vytvořit v Active Directory pomocný účet, který bude nositelem informace o jménech SPN (Service Principal Name), která na Exchange Serveru používáme. Je možné použít uživatelský účet i počítačový účet, z bezpečnostních důvodů je doporučeno použít účet počítače. ASA účet vytvoříme pomocí následujících příkazů:

· Import-Module ActiveDirectory

· New-ADComputer -Name EXCH2016ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2016ASA

· Set-ADComputer EXCH2016ASA -add @{"msDS-SupportedEncryptionTypes"="28"}

Identifikace SPN

K vytvořenému ASA účtu bude nutná přiřadit správná SPN. Je vhodné si tedy předem udělat soupis všech jmen, která Outlook používá při přístupu na Exchange Server. Konkrétně se jedná o služby: Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover a Offline Address Book Obvykle to bývá:

· http/autodiscover.kpcs.cz (Autodiscover)

· http/mail.kpcs.cz (Outlook Anywhere externě, MAPI over http externě , Exchange Web Services a Offline Address Book)

· http/outlook-int.kpcs.cz (Outlook Anywhere interně, MAPI over http interně)

Poznámka: mít jiné jméno pro přístup k Outlook Anywhere a MAPI over http interně není nezbytně nutné, ale pokud chceme mít jinak nastavenou autentizaci pro interní přístup (Kerberos) a jinak pro externí přístup (NTML nebo Basic), musí umět Outlook rozlišit, kdy přistupuje interně a kdy interně. Jediné řešení je definice tohoto nového interního jména, které není přeložitelné z Internetu.

Přiřazení ASA účtu k jednotlivým Exchange serverům

· Spusťte EMS na Exchange Serveru 2016

· Změňte aktuální složku na <Exchange 2016 installation directory>\V15\Scripts, obvykle cd "C:\Program Files\Microsoft\Exchange Server\V15\Scripts"

· Spusťte .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex1.kpcs.cz -GenerateNewPasswordFor kpcs\EXCH2016ASA$

· Na každém dalším Exchange Serveru 2016 pak .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex2.kpcs.cz -CopyFrom ex1.kpcs.cz

1 Přířazení účtu ASA k Exchange serverům

Obrázek 1 Přiřazení účtu ASA k Exchange serverům

Přiřazení SPN k ASA účtu

K přiřazení SPN k ASA účtu doporučuji použít příkaz SetSPN, který nejenom, že nám definovaná jména zaregistruje, ale také provádí kontrolu, zda neexistuje v Active Directory duplicita, která by způsobila nefunkčnost autentizace.

· setspn -S http/autodiscover.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/mail.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/outlook-int.kpcs.cz KPCS\EXCH2016ASA$

2 Přířazení SPN k účtu ASA

Obrázek 2 Přiřazení SPN k účtu ASA

Povolení Kerberos autentizace pro Outlook Anywhere a MAPI over HTTP

Pro Outlook Anywhere a MAPI over HTTP povolíme autentizaci pomocí Negotiate. Důsledkem bude již finální přepnutí klientů na Kerberos.

· Get-OutlookAnywhere -Server EX2016 | Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate -ExternalClientAuthentication NTLM

· Get-MapiVirtualDirectory -Server EX2016 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate

Ověření

Osobně pro ověření používám 2 základní metody:

· Na klientovi si spustím klist.exe a dívám se, zda má vydané Keberos tikety s Exchange SPN.

· Podívám se stavu připojení, které hlásí Microsoft Outlook. Ve sloupečku AUTH se nám místo NTLM objeví Nego*.

3 Kerberos - ověření klienta

Shrnutí

Exchange Server 2016 používá po instalaci a standardní konfiguraci v rámci připojení Outlooku bohužel pouze zastaralou autentizaci pomocí NTLM, která vykazuje hned celou řadu nevýhod. Přechod na Kerberos autentizaci je ale nejen plně podporovaným scénářem, ale také rozhodně doporučeným. V tom článku jsme si ukázali kompletní postup, jak tuto důležitou změnu provést.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Publikace Exchange Serveru 2016 pomocí WAP

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 7. 2016 12:49 Zobrazeno: 2392
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Řada zákazníků dodnes ve svých prostředích udržuje produkt Forefront TMG, přestože již u něj vypršelo období standardní podpory a nová verze tohoto software již nebude. Důvodem je obvykle to, že není k dispozici něco, čím by bylo možné TMG plnohodnotně nasadit. TMG ale plní celou škálu různých funkcí a pokud používáte jen některé z nich, je klidně možné, že náhrada existuje. V tomto článku se zaměříme na náhradu Forefront TMG v režimu reverzní proxy pro bezpečné publikování služeb Exchange Serveru. Touto náhradou bude v našem scénáři Web Application Proxy (WAP) – role operačního systému Windows Server 2012 R2.

1 Možnosti náhrady TMG

Obrázek 1 Přehled možností náhrady TMG v jednotlivých scénářích

Začlenění WAP do publikace Exchange Serveru nám přinese tyto výhody:

· SSL bridging

· Ochrana proti DOS útoků

· Pre-autentizace (pouze pro Outlook on the web)

Předpoklady řešení

Pro nasazení je nutné splnit následující předpoklady:

· Zajistit certifikát pro ADFS

· Mít funkční ADFS řešení

· Nainstalovaná funkce WAP (Web Application Proxy)

Instalace ADFS

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2, který je součástí Active Directory domény

· Na tomto serveru si vystavíme certifikát na jméno ADFS služby např. adfs.kpcs.cz

· Přidáme A záznam do DNS, který umožní přeložit jméno adfs.kpcs.cz na IP adresu nového serveru

· Nainstalujeme roli ADFS (Active Directory Federation Services)

2 ADFS - nastavení certifikátu

Obrázek 2 ADFS - nastavení certifikátu

Přidáme v ADFS Non-Claims-Aware Relying Party Trust

 

3 ADFS - Non-Claims-Aware Relying Party Trust

Obrázek 3 ADFS - Non-Claims-Aware Relying Party Trust

A vytvoříme autorizační pravidlo, které povolí přístup všem uživatelům.

 

4 ADFS - Permit All Users

Obrázek 4 ADFS - Permit All Users

Instalace WAP

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2

· Na tento server naimportujeme certifikát pro ADFS i pro Exchange

· Nainstalujeme roli Remote Access – Web Application Proxy

· Povolíme Kerberos Delegation na účtu WAP serveru pro Exchange ASA

Po instalaci a zprovoznění WAP vypublikujeme Outlook on the Web a ECP s pre-autentizací pomocí AD FS

5 WAP - publikace OWA

Obrázek 5 WAP - publikace OWA

Další Exchange služby vypublikujeme již pouze jako Pass-through, neboť pre-autentizace pro další služby v současné době není prostřednictvím WAP podporovaná.

 

6 WAP - publikace všech Exchange služeb

Obrázek 6 WAP - publikace všech Exchange služeb

Konfigurace Exchange a otestování

V rámci Exchange serveru musíme mít funkční Kerberos autentizaci a je nutné na OWA a ECP zapnout Windows Integrated autentizaci. Dále již jen stačí do externí DNS přidat záznam, který bude odkazovat exmail.kpcs.cz na WAP server a můžeme otestovat. Při zadání https://exmail.kpcs.cz/owa se nám musí objevit formulář ADFS a po zadání přihlašovacích údajů jsme korektně ověření do OWA prostřednictvím WAP.

 

7 Přihlašení do OWA pomocí WAP

Obrázek 7 Přihlašení do OWA pomocí WAP

Shrnutí

Je škoda, že v tuto chvíli je možné s pre-autentizací vypublikovat z Exchange služeb pouze Outlook on the web a ECP. Ostatní Exchange služby musí být nastavené v režimu Pass-through. I tak je určitě WAP dobrá cesta, jak nahradit TMG server v roli reverzní proxy pro publikování Exchange služeb do Internetu.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Jak na virtualizaci Exchange 2013

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 10. 11. 2013 5:43 Zobrazeno: 3548
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

image “Byl objeven” zajímavý dokument z dílny Microsoftu, který na více jak 90ti stranách popisuje jak na virtualizaci Exchange 2013. Dokument se zaměřuje na všechny důležité aspekty, které je nutné brát na zřetel s ohledem na virtualizaci (konkrétně Hyper-V) a Exchange. Počínaje konfiguracemi HW, SAN, LAN, přes vysokou dostupnost virtualizace (clustering), předpoklady pro virtualizace jednotlivých rolí Exchange serveru, až po spolupráci a monitoring pomocí System Center. Kompletní dokument je k dispozici zde: http://download.microsoft.com/download/4/A/C/4AC32FD3-220E-45DC-AA97-DBDBE19C15B2/Best_Practices_for_Virtualizing_and_Managing_Exchange_2013.pdf

Dokument je koncipován jako Best practice guide.

Office 365

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 6. 3. 2011 14:31 Zobrazeno: 8629
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V první polovině tohoto roku se objeví komerčně dostupná další verze cloudových služeb vycházející z MS BPOS - Business Productivity Online Suite. Služby jsou postavené na posledních verzích aplikačních serverů jako je Exchange server 2010, Sharepoint server 2010 a Lync server 2010. Došlo tedy jednak k upgrade verzí serverů (Exchange 2007 na Exchange 2010 atp.), v případě sharepoint technologie i k přechodu na verzi s větší funkcionalitou (Sharepoint Services x Sharepoint Server). Klientskou aplikací jsou jednak Office Web Apps a plnohodnotným klientem je Office 2010. Služby jsou poskytované z datových center Microsoftu, v našem případě z Irska (Dublin) a Belgie (Amsterdam - záložní centrum). Garantovaná dosupnost služeb je 99,9%. Služby se nabízejí celkem v sedmi balíčcích nazývaných plány. Tyto plány jsou označeny jako P (Professional), K1 (K - jako Kiosk), K2, E1 (E jako Enterprise), E2, E3, E4. Služby obsažené v těchto balíčcích lze však zakoupit i jednotlivě. Podrobnější informace o licencování najdete zde .

Exchange server 2010 SP1 RTM

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 25. 8. 2010 6:53 Zobrazeno: 8635
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Podle důvěryhodného zdroje dnes bude uvolněn SP1 na Exchange 2010.
Stáhnout si SP1 můžete zde.

Microsoft Forefront Protection 2010 pro Exchange Server

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 15. 12. 2009 21:10 Zobrazeno: 11803
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Microsoft vydal 2 velice užitečné downloady pro Forefront Protection 2010 pro Exchange Server. První se týká dokumentace, která popisuje nasazení a spolupráci s Operations Managerem, nasazení Forefront Protection jako takové, plánování nasazení, řešení problémů s produktem a další.

Druhý download se týká optimalizace nasazení a řešení nestandardních stavů - to vše pomocí “Best Practice Analyzer”.

Dokumentaci je možné stáhnout zde,
Best Practice Analyzer potom zde.

Exchange server 2010

Vytisknout E-mail

Tomáš Mirošník Datum zveřejnění: 9. 11. 2009 20:25 Zobrazeno: 9990
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Dnes bylo na konferenci TechEd v Berlíně oficiálně oznámeno vydání Exchange serveru 2010.

Více informací v češtině najdete na stránkách české pobočky společnosti Microsoft.

Správa Exchange 2007 pomocí PowerShell – nevíte jak ?

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 8. 9. 2009 10:30 Zobrazeno: 9168
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Společně s uvedením Exchange 2007 bylo představeno nové rozhraní pro správu tohoto poštovního systému nazvané Exchange Management Shell. Na stránkách http://download.microsoft.com je možné stáhnout referenční příručku příkazů pro administraci Exchange 2007 a to včetně obou service packů. Tento dokument obsahuje seznam často používaných cmdletů, důležité konvence psaní příkazů a užitečné tipy a triky.

Strana 1 z 2

Přihlašovací formulář