Tuesday, December 17, 2013

Ook voor Forefront UAG is het einde nu gekomen, een terugblik

Gods wegen zijn ondoorgrondelijk. Een mooi gezegde om een grotere en onbekende macht mee te verklaren, heel mooi want er zit iets van berusting in. Je kunt het niet beredeneren, je kent de overwegingen niet en hebt geen andere keuze dan het resultaat maar te accepteren. Hier moest ik aan denken toen ik net het nieuws hoorde dat Microsoft ook het einde aangekondigd heeft van Forefront UAG.

In 2006, ISA was inmiddels volwassen en werd opgevolgd door de net iets verbeterde ISA 2006, kocht Microsoft Whale Communications. Niet lang daarna kwam Intelligent Application Gateway (IAG) 2007 op de markt. In 2010 werd de tweede versie sinds de overname door MS uitgebracht, nu hernoemd naar Unified Access Gateway (UAG) 2010 en onderdeel van de nieuwe security-reeks Forefront. UAG was niet slecht, veel mogelijkheden om met trunks en portals allerlei applicaties te publiceren met legio mogelijkheden voor authenticatie en SSO. Het systeem met include-files maakte het kinderspel om functionaliteit aan te passen of zelfs toe te voegen.

Waar DirectAccess in Server 2008 R2 een nieuwe en gestroomlijnde VPN-ervaring bracht, was de implementatie van UAG 2010 een stuk eenvoudiger. Microsoft pushte UAG ook vooral als het platform om DirectAccess me uit te rollen. Zo werden er legio TechNet sessies en blogposts over dit onderwerp geschreven. Maar toch hield UAG ene plek aan de zijlijn, dit kwam ook door de prijs van hele duizenden euro’s en het dure licentiemodel met CALs.

Daarna werd het stiller rondom UAG. Server 2012 werd het primaire en betere platform voor DirectAccess, ondersteuning voor nieuwe workloads komt met mondjesmaat, drijvende kracht Erez Ben Ari krijgt een andere baan binnen Microsoft en in September 2012 wordt het einde aangekondigd van Forefront TMG. Interessante zinsnede:

It is important to note that there are no significant changes to the Forefront Identity Manager or Forefront Unified Access Gateway roadmaps.  These solutions continue to be actively developed.  Forefront UAG 2010 SP2 was released in August 2012 and Forefront Identity Manager 2010 R2 was release in June 2012. 

Toch wees niets er op dat er een opvolger zou komen voor UAG. Nog geen maand geleden kwam er onverwachts nog een SP4 en inmiddels bleek dat de nieuwe Web Application Proxy rol van Server 2012 R2 de nieuwe oplossing ging zijn om applicaties te publiceren. Tot er vandaag eindelijk een definitief bericht kwam met de titel Important Changes to the Forefront Product Line.

Microsoft will not deliver any future full version releases of Forefront UAG and the product will be removed from price lists on July 1, 2014

Daar is dus het nieuws wat eigenlijk geen nieuws meer was. UAG klanten met SA krijgen voor elke UAG server een licentie voor Windows Server 2012 R2 die de nieuwe WAP rol heeft. Mainstream support tot 14 April 2015 en extended support, de fase waar je liever niet in wilt zitten, loopt tot 2020.

Is de Web Application Proxy rol dan al klaar voor Lync en Exchange? Er wordt met mondjesmaat mee geëxperimenteerd waarbij men al snel merkt dat ook deze rol nog heel beperkt is. Zelf formuleert Microsoft het als volgt:

Web Application Proxy provides application publishing capabilities, similar to Forefront Unified Access Gateway (UAG). However, Web Application Proxy interacts with other servers and services to provide a more streamlined deployment. This helps you to concentrate on configuring only the necessary parts of your deployment. It is recommended that for any new deployments where you require application publishing capabilities for the scenarios described above, you should use Web Application Proxy.

Ook heeft Microsoft al aangegeven dat ze erkennen dat WAP in Server 2012 R2 nog heel beperkt is maar wel doorontwikkeld wordt, volgende versies moeten snel nieuwe features gaan introduceren.

En dan zijn er nog leveranciers als KEMP die hun load balancer in rap tempo doorontwikkelt tot een echte Application Delivery Controller. Met het Edge Security Pack kun je webdiensten publiceren met basic of forms-based authentication en single sign-on. De huidige versie is nog wat spartaans maar ESP v2 wordt begin 2014 verwacht en zal een stuk verbeterd zijn. Ik volg de ontwikkelingen met belangstelling en zal mijn bevindingen hier op het blog blijven delen.

Tuesday, December 10, 2013

Exchange 2010 Hybrid Configuration: Objects added to a BindingSource’s list…

Op een Exchange 2010 hybride omgeving met SP3 en CU1 of CU2 geïnstalleerd, kan het zijn dat je een foutmelding krijgt wanneer je aanvullende domeinen aan de Hybrid Configuration toe probeert te voegen.

image

Objects added to a BindingSource's list must all be of the same type.

Dit probleem is opgelost in Update Rollup 3 voor Exchange Server 2010 SP3. Deze moet minimaal geïnstalleerd zijn op de server waar je de Exchange Management Console gebruikt om de Hybrid Configuration Wizard wilt uitvoeren.

Monday, December 2, 2013

Forefront UAG 2010 Service Pack 4 is uit

Een week gelden werd ik aangenaam verrast door het plotseling verschijnen van een Service Pack voor Forefront TMG. Deze week is het weer raak, nu is ook het 4e Service Pack voor Forefront UAG 2010 uitgekomen. Zoals gebruikelijk is er een lijst beschikbaar met een selectie van de opgeloste problemen: Description of Forefront Unified Access Gateway 2010 Service Pack 4. En waar SP3 al ondersteuning voor Windows 8 clients bood, is deze met SP4 uitgebreid met ondersteuning voor Windows 8.1 clients.

Je kunt SP4 installeren op UAG servers die al voorzien zijn van SP3 met Rollup 1, downloaden doe je hier: Forefront Unified Access Gateway (UAG) 2010 Service Pack 4 (SP4)

Wednesday, November 27, 2013

Exchange 2013 CU3 heeft storende fouten niet verholpen

Eén van mijn persoonlijke ergernissen is wel de hoeveelheid errors en warnings die een ‘schone’ Exchange 2013 server rapporteert in het event log. Events, met name van het type warning en error, horen zinvolle informatie te geven en de beheerder te informeren. Na installatie van Exchange 2013 CU3 op een CU2 server valt mij op dat in ieder geval de volgende false positives nog steeds verschijnen:

image

image

Het gaat om event id 1006 van source MSExchangeDiagnostics en 6002 van MSExchange Mid-Tier Storage. Beide events worden door veel beheerders gezien maar lijken niet een echt issue te zijn. Ik schreef hier al eerder over:

Tuesday, November 26, 2013

Lang verwacht en toch gekomen: Exchange 2013 CU3

image Een paar dagen geleden schreef ik hier al over en nu is hij er dan eindelijk, de derde Cumulative Update voor Exchange 2013. Naast alle fixes uit CU2 zijn er minimaal 23 recente isseus verholpen in deze CU, waaronder de storende You cannot forward an external meeting request in an Exchange Server 2013 environment. Een lijst met de andere problemen die met CU3 opgelost zijn vind je hier:

Description of Cumulative Update 3 for Exchange Server 2013

Verder introduceert CU3 nog wat nieuwe en verbeterde features. Een interessant voorbeeld is het Administrator Audit Log die je nu direct in kunt kijken in plaats van deze via mail aan te laten leveren. In EAC ga je naar Compliance Management, Auditing en klik dan op View the administrator audit log. Helaas is het nog niet mogelijk om Exchange 2013 CU2 op Windows Server 2012 R2 te installeren, die komt pas met de volgende CU die als SP1 gepresenteerd gaat worden. Denk ook nog even aan eventuele aanpassingen in web.config op de CAS servers, deze worden overschreven en dien je dus opnieuw uit te voeren na de installatie van CU3.

Vraag je wel even af of je graag early adopter wilt zijn en deze direct in je productie-omgeving uit wilt rollen. Eenmaal geïnstalleerd kun je een Exchange 2013 CU namelijk niet meer verwijderen. Het is verstandig om de blog- en Twitterwereld eerst even in de gaten te houden om te ontdekken of CU3 nieuwe problemen introduceert of niet.

Je kunt Exchange 2013 CU3 downloaden in het Download Center: Cumulative Update 3 for Exchange Server 2013 (KB2892464)

Exchange Server 2010 SP3 Update Rollup 3 uit, veel issues opgelost

imageHet zat er al even aan te komen maar vandaag is hij er dan ook echt: Update Rollup 3 voor Exchange 2010 SP3. De lijst met verholpen problemen telt minimaal 24 items maar de ervaring leert ook dat er issues verholpen zijn waar geen Knowlegde Base artikel of formele erkenning van was. Meer informatie hierover vind je hier:

Description of Update Rollup 3 for Exchange Server 2010 Service Pack 3

Neem voor het installeren ook zeker even het volgende door: Install the Latest Update Rollup for Exchange 2010. Dit artikel geeft een aantal waardevolle adviezen, bijvoorbeeld over de impact van Certificate Revocation checks op servers zonder internettoegang.

Je kunt de rollup downloaden in het Microsoft Download Center: Update Rollup 3 For Exchange 2010 SP3 (KB2891587).

Monday, November 25, 2013

Toch nog een update voor Forefront TMG: Rollup 4

Dit is toch wel verassend, na het abrupte terugtrekken van Forefront TMG heeft Microsoft onlangs toch nog een verzamelupdate voor TMG uitgebracht. In Rollup 4 voor Forefront TMG SP2 zijn minimaal 9 issues verholpen, dit artikel vertelt welke: Rollup 4 for Forefront Threat Management Gateway 2010 Service Pack 2. Om redenen die mij niet helemaal duidelijk zijn wordt deze niet als directe download aangeboden maar als hotfix, dit werkt iets omslachtiger omdat je de downloadlink per e-mail aangeleverd krijgt. Aanvragen doe je op deze pagina.

Friday, November 22, 2013

Problemen met Exchange en Internet Explorer 11 (en oplossingen)

Exchange OWA biedt steeds meer functionaliteit tegenwoordig, om dat te bereiken wordt er door slim programmeerwerk het uiterste gehaald uit de ondersteunde browsers. En het resultaat mag er zijn, zeker de edities sinds Exchange 2010 zijn erg bruikbaar en die van Exchange 2013 werkt zelfs prettig met touch. Dan is het toch zuur als je op je moderne Windows 8.1 computer met Internet Explorer 11 in de Spartaanse  Light-versie komt:

image

De oorzaak ligt in het feit dat IE11 een andere user-agent presenteert bij het opvragen van de OWA pagina’s, het gaat met name om het MSIE stukje wat nu ontbreekt. Daarom biedt Exchange de sobere maar zeer compatible Light-versie van OWA.

Voor Exchange 2013 is er een update opgenomen in Exchange 2013 Cumulative Update 2. Voor Exchange 2007 en 2010 is er op dit moment nog geen oplossing, al verwacht ik deze in Exchange 2010 SP3 Update Rollup 3 die zeer binnenkort verwacht wordt. Tot die tijd zijn er twee (client based) work-arounds:

  • Open een InPrivate Browsing tab en ga dan naar OWA, dit moet je dus per sessie doen
  • Of voeg de OWA url toe aan de Compatibility Mode settings, deze instelling blijft opgeslagen

Beiden zijn natuurlijk geen oplossingen voor beheerders die een fix voor alle gebruikers zoeken, maar misschien wel een snelle oplossing voor jou als individuele gebruiker. Meer informatie: Can't load OWA Premium by using Internet Explorer 11 in an Exchange Server 2013, Exchange Server 2010 or Exchange Server 2007 environment

Thursday, November 21, 2013

Azure AD connector voor FIM2010: goed nieuws voor Office 365

Cloud computing biedt mooie kansen maar vraagt soms nogal wat denkwerk om de eigen omgeving goed aan te laten sluiten op de cloud, en vice versa. Eén van die onderwerpen is Identity Management. Voor Office 365 probeert Microsoft het zo makkelijk mogelijk te maken en biedt klanten een gratis Office 365 Directory Synchronization tool aan. De enige configuratie van deze tool behelst het draaien van een korte wizard, meer dan het invoeren van je Office 365 admin credentials is niet nodig. Dat is alles.

Create management agentWat je niet direct ziet is dat je onder de motorkap eigenlijk een op maat gemaakte versie van Forefront Identity Manager 2010 hebt gekregen, Microsofts enterprise IDM tool. En het is ook niet de bedoeling dat je hier zelf mee aan de slag gaat, er zijn maar een heel beperkt aantal aanpassingen mogelijk die ondersteund worden. Zo mag je filteren welke objecten gesynchroniseerd worden op basis van OU, domein of attribuut: Configure filtering for directory synchronization Wil je meer, bijvoorbeeld omdat je meerdere forests hebt dan moet je de volledige versie van FIM 2010 zelf aanschaffen en configureren.

En voor die organisaties is er nu goed nieuws. De Forefront Identity Manager Connector for Windows Azure Active Directory is nu te downloaden voor gebruik in je eigen FIM 2010 omgeving. Een artikel met meer informatie en een stap voor stap handleiding vind je hier: Windows Azure Active Directory Connector for FIM 2010 R2 Technical Reference. Let op: de onlangs toegevoegde DirSync feature om wachtwoorden te synchroniseren wordt niet ondersteund, dit werkt dus alleen in combinatie met Identity Federation.

Nieuwe Office 365 urls en IP-adressen

imageWanneer een organisatie gebruik gaat maken van Office 365 mag het verkeer tussen clients en servers niet geblokkeerd of aangepast worden. Soms is het hierom nodig om bepaalde urls en IP-adresreeksen uit te zonderen op firewalls en proxy-servers. Het grote nadeel hiervan is dat je de configuratie moet aanpassen wanneer Microsoft andere urls of IP-adressen gaat gebruiken.

Gelukkig zijn deze goed gedocumenteerd en wel op deze pagina: Office 365 URLs and IP address ranges. Maar misschien nog wel belangrijker is de pagina waar wijzigingen aan worden gekondigd: Change notification for Office 365 URLs and IP address ranges. Zorg dus dat je deze aan je RSS toegevoegd hebt als je steeds op de hoogte wilt blijven.

Wednesday, November 20, 2013

PowerShell One-Liner: Alle Office 365 gebruikers zonder licentie vinden

Nodig: De Windows Azure PowerShell cmdlets en een administrator account voor je Office 365 of Windows Azure directory.

Get-MsolUser -All | where { $_.IsLicensed -eq $false }

Tuesday, November 19, 2013

Ook Exchange 2010 SP3 UR3 komt er aan!

Beheerders van Exchange 2013 zitten vol verwachting te wachten op de komst van hun CU3, maar ook voor Exchange 2010 SP3 zit er een 3e verzamelupdate aan te komen. Hoewel Exchange 2010 doorgaans beschouwd wordt als stabieler en meer uitgekristalliseerd zitten ook hier een aantal interessante fixes in. Een kleine greep:

De overeenkomst is dat bij al deze artikelen onder Solution melding wordt gemaakt van SP3 UR3:

2891587 Description of Update Rollup 3 for Exchange Server 2010 Service Pack 3

Het artikel is op het moment van schrijven nog niet online maar dat zal niet lang meer duren.

Exchange 2013 Cumulative Update 3 op komst

De eerdere aankondiging dat Microsoft vier maal per jaar een grote verzamelupdate voor Exchange uit ging brengen is ze op veel kritiek komen te staan. Zo’n Cumulative Update (CU) is ingrijpend om te installeren, kan na installatie niet meer verwijderd worden en brengt sneller veranderingen mee dan sommige organisaties wenselijk vinden. Bovendien kondigde Microsoft aan om alleen nog de laatste en voorlaatste CU te gaan ondersteunen.

Inmiddels blijkt de soep toch niet zo heet gegeten te worden. CU1 kon niet op tijd uitgebracht worden en CU2 werd na het vinden van een ernstig issue teruggetrokken. Na het issue met Security Update MS13-061 heeft het Exchange-team al aangegeven ook de geplande release-datum van CU3 niet te gaan halen maar gaf geen nieuwe datum aan. Zelfs een recente blogpost met de veelbelovende titel The Road Ahead bleef vaag over wat er komen gaat.

Veel beheerders kijken verwachtingsvol uit naar CU3, er zijn nogal een aantal bekende issues in CU2 die nog geen oplossing hebben namelijk. Over één van die issues is vandaag een KB-artikel geschreven: You cannot forward an external meeting request in an Exchange Server 2013 environment. Opvallend is dat onder Resolution voor het eerst melding gemaakt wordt van Exchange 2013 CU3:

2892464 Description of Cumulative Update 3 for Exchange Server 2013

Op het moment van schrijven is het artikel zelf nog niet online, dit is heel gebruikelijk omdat het even kan duren voordat nieuwe artikelen gerepliceerd zijn over de wereldwijde webservers. Maar het zou mij niet verbazen als de echte aankondiging van CU3 niet lang meer op zich laat wachten.

Wednesday, November 13, 2013

Migreren naar Office 365: Haal de beste doorvoersnelheid

Iedereen neemt graag de bestaande e-maildata mee bij de overstap naar Office 365. MKB en niet-Exchange omgevingen uitgezonderd kiezen de meeste organisaties voor een hybride opstelling met Office 365. In deze opstelling worden de mailboxen verplaatst door een move-request aan te maken. In andere gevallen wordt een 3rd party migratietool gebruikt of één van de andere native Office 365 opties.

Uiteraard testen we vooraf de correcte werking met een enkele proefmailbox maar vroeg of laat komt de vraag hoe lang het migreren van mailboxen nu daadwerkelijk duurt. Tot voor kort was het meestal een ‘educated guess’ of simpelweg eerst testen en dan maar zien waar het schip strandt. Maar als de performance tijdens een test goed is en later opeens niet, hoe komt dit dan? Welke factoren spelen eigenlijk een rol? Wie ‘knijpt’ de lijn onderweg en wat is de rol van een toch al hoog belaste bronserver?

image

Microsoft heeft nu een artikel dat beschrijft welke factoren de performance van de migratie kunnen beïnvloeden. Er wordt ingegaan op de rol van de verschillende componenten, hoe we een aantal bottlenecks kunnen verhelpen en bovendien handige doorvoerwaarden die als referentie kunnen dienen voor jouw project.

Dit is geen vervanging van een migratieplan of one-size-fits-all oplossing maar het document biedt wel veel handige tips en informatie. Bekijk het hier: Factors that affect Exchange Online migration performance

Friday, October 11, 2013

Exchange en meerdere domeinen: Zet de Recipient Scope goed

De meeste omgevingen bestaan uit een enkele AD forest met één domein. Maar in een forest met meerdere domeinen zitten de Exchange-servers vaak in een ander domain dan de gebruikers. In de Exchange Management Shell zie je dan ook dat je standaard alleen de recipients uit het huidige domein kunt zien.

Maar je kunt dit aanpassen door de Recipient Scope op Forest te zetten, dat doe je met het Set-ADServerSettings cmdlet:

Set-ADServerSettings -ViewEntireForest:$true

Een voorbeeld:

image

Let wel op, deze instelling wordt niet opgeslagen nadat je de shell weer gesloten hebt.

Monday, September 30, 2013

KEMP LoadMaster v7.0-8? Dan naar v7.0-8a!

De titel is een beetje cryptisch, maar dit gaat natuurlijk over de nieuwste software voor de KEMP LoadMaster load balancers. Even geleden schreef ik over versie 7.0-8 en de vernieuwingen die deze brengt. Kort daarna heeft KEMP deze vervangen voor versie 7.0-8a, inderdaad het zelfde versienummer maar dan met één letter toegevoegd.

Er is een probleem ontdekt waarbij de reverse proxy-functionaliteit van het Edge Security Pack stopt met werken. In de logfile staat dan een segfault fout:

Sep 30 11:44:24 LB02 kernel: ssomgr[27053]: segfault at 4 ip 0804fc29 sp 6f470100 error 4 in ssomgr[8048000+41000]

De oplossing zit dus in v7.0-8a, vraag hem snel aan bij KEMP Support.

Versie 2.4 van de PAL tool nu beschikbaar

imageClint Huffman heeft versie 2.4 van zijn befaamde Performance Analysis of Logs (PAL) Tool uitgebracht. De nieuwste versie bevat een aantal bugfixes om de stabiliteit en performance te verhogen en de treshold files zijn bijgewerkt. PAL bevat nu al 49 treshold files maar helaas nog geen voor Exchange 2013, op dat vlak blijft het helaas nog stil.

Downloaden van PAL 2.4 doe je hier.

Exchange 2013 CU2: Ping of mdb ... timed out after '00:00:00' minutes.

Op Exchange 2013 servers met CU1 of CU2 kan de volgende warning verschijnen in het Application log:

image

Log Name:      Application
Source:        MSExchange Mid-Tier Storage
Date:          28-9-2013 17:28:52
Event ID:      6002
Task Category: ResourceHealth
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      fqdn
Description:
Ping of mdb 'b7e98597-3a0e-451f-9864-de46349f7505' timed out after '00:00:00' minutes.  Last successful ping was at '28-9-2013 15:28:52' UTC.

Deze fout wordt veelvuldig gemeld op verschillende online fora. De algemene consensus is dat het hier om een cosmetisch issue gaat, gebruikers hebben nergens last van en er zijn ook geen andere indicaties dat er iets aan de hand is. Laten we hopen dat ook dit issue in CU3 opgelost is…

Health Manager service start niet automatisch na installatie Exchange 2013 CU2

Verschillende mensen melden dat de service Microsoft Exchange Health Manager na een herstart niet automatisch start, zelf zie ik dit op iedere Exchange 2013 server met CU2 geïnstalleerd. De service lijkt te starten en wordt daarna om onduidelijke redenen weer gestopt. Het aanpassen van de recovery options biedt geen soelaas en hoewel sommigen melden dat het voldoende was om het Startup Type op Automatic (Delayed Start) te zetten, bood dit op mijn servers ook geen oplossing.

image Managed Availability is essentieel voor de werking van alle onderdelen van Exchange 2013. Mijn advies is dan ook om deze vooralsnog handmatig te starten na een herstart van de server. Alternatief kun je een taak aanmaken in de Task Scheduler of op een andere manier automatiseren dat de service alsnog gestart wordt na het booten.

We zullen zien of dit opgelost is in CU3 die binnenkort verschijnen gaat. Heb jij een oplossing of goede work-around? Laat dit dan even weten in de comments.

Thursday, September 26, 2013

Met de cmdline een Data Collector Set aanmaken voor PAL

Eerder schreef ik over het werken met Exchange User Monitor. In dat voorbeeld gebruikte ik een cmdline regel om een Data Collector Set aan te maken (logman create trace Exmon_Trace…), deze custom Data Collector Set kun je vervolgens eenvoudig stoppen, starten of agenderen in Perfmon.

Een andere tool die we vaak gebruiken om onderzoek te doen naar performance is de Performance Analysis of Logs (PAL) Tool. In PAL begin je met het aanmaken van een Perfmon template op basis van een treshold file:

image

Met dit XML-bestand kunnen we vervolgens een Data Collector Set aanmaken op de cmdline:

logman import PAL_Trace -xml 'Exchange 2010 PAL treshold file.xml'

Het resultaat is dat we nu voor zowel Exchange User Monitor als voor PAL een custom Data Collector Set zien in Perfmon:

image

Wednesday, September 25, 2013

Nieuwe whitepaper: Best Practices for Virtualizing & Managing Exchange 2013

Het was even aan mij voorbij gegaan maar de voorpagina meldt “May 2013”, het document bestaat dus al even. Het gaat om het whitepaper met de naam Best Practices for Virtualizing & Managing Exchange 2013. Een uitstekend document waarbij de nadruk dit keer eens niet ligt op de support boundaries, maar wat echt gericht is op de specifieke kenmerken van virtualisatie.

image

Uiteraard ligt de nadruk op Hyper-V en System Center maar de meeste materie is ook van toepassing op de andere ondersteunde hypervisorplatformen. De diepgang is meer dan voldoende maar de concrete aanbevelingen worden duidelijk uitgelicht. Absoluut een aanrader! Downloaden van de 4 MB grote PDF doe je hier.

Office 365: Upgrade de 32-bits DirSync tool nu!

In de begindagen van Office 365 bracht Microsoft de Directory Synchronization tool (DirSync) uit. Dit was een ingepakte en voorgeconfigureerde versie van het toen al wat verouderde ILM 2007. Opvallend was dat deze er alleen in een 32-bits uitvoering was. Niet lang daarna kwam de 64-bits versie uit, eigenlijk dezelfde tool maar nu op basis van het modernere FIM 2010. Microsoft adviseerde dan ook om DirSync te upgraden door de 64-bits editie.

Mocht je nog de eerste versie van DirSync gebruiken dan is nu het moment om te upgraden. Microsoft ondersteunt deze nog tot 30 september 2013 en blokkeert daarna te toegang. Dit betekent dat wijzigingen in je Active Directory niet langer worden gesynchroniseerd naar Windows Azure AD, zoals deze inmiddels heet.

Hoe dit upgraden in zijn werk gaat kun je lezen in de Office 365 wiki.

Thursday, September 19, 2013

Exchange User Monitor (ExMon) gebruiken zonder crashes

De Exchange User Monitor (ExMon.exe) is een oude maar zeer bruikbare tool om performancegegevens te verzamelen. Waar je met Perfmon standaard al allerlei informatie kunt verzamelen zoals bijvoorbeeld de RPC Avaraged Latency, kun je die informatie met ExMon per gebruiker zien. Zo kun je bijvoorbeeld ontdekken welke gebruiker verantwoordelijk is voor een onevenredige belasting van de server, of bijvoorbeeld data sorteren op het versienummer van de gebruikte Outlook-client.

Deze tool is bij Microsoft intern ontstaan en gebruikt om inzicht te krijgen in MAPI performance tijdens de ontwikkeling van Outlook 2003 en Exchange 2003. Inderdaad, voor IT begrippen is dat een enorme tijd geleden. En zelfs vandaag is de laatste versie die je kunt downloaden al meer dan twee jaar niet bijgewerkt. Maar de tijd heeft inmiddels niet stil gestaan en er is veel veranderd na Windows 2000 Server en Exchange 2003. Als je informatie zoekt over deze tool dan vind je dan ook veel oude blog- en forumposts met foutmeldingen, crashes en verwijzingen naar Tracelog.exe die je maar met moeite kunt vinden…

image

Maar het kan makkelijker… Installeer om te beginnen de Exmon tool op de Exchange-server en vergeet niet om de registry file te importeren die in de programma directory staat:

image

Open nu een cmd-prompt en voer het volgende commando uit:

logman create trace Exmon_Trace -p {2EACCEDF-8648-453e-9250-27F0069F71D2} -o c:\Tracing\exmon

De directory die je op net einde van de regel gekozen hebt is de plek waar de informatie weggeschreven hebt, kies een pad op een volume met voldoende ruimte en zorg dat je account rechten heeft om deze folder aan te maken, als hij nog niet bestond.

Vervolgens kun je Perfmon openen en zie je een nieuw aangemaakte Data Collector Set. Deze kun je nu handmatig starten en stoppen of een schedule invoeren met een bepaalde stop-actie, bijvoorbeeld om 7:00 uur starten en dan stoppen met loggen na 4 uur om de ochtendpiek mee te pakken.

image

Het eindresutlaat is een ETL-bestand die je kunt openen door hem als optie mee te geven in Exmon:

exmon.exe c:\Tracing\exmon\MijnLog.etl

Exmon toont nu de informatie uit je logbestand en door te sorteren met de diverse kolommen heb je snel inzicht in wat er speelt. Alternatief kun je het bestand exporteren naar een handzamer en flexibeler CSV-bestand:

exmon.exe –SU c:\Tracing\exmon\MijnLogMaarNuInCSV.csv c:\Tracing\exmon\MijnLog.etl

De switch –SU toont de User data, met –SC krijg je de view Version of –SC voor de view Clientmon.

Op deze manier heb ik succesvol een aantal metingen kunnen uitvoeren, ik hoop dat jij er ook wat aan hebt.

Wednesday, September 18, 2013

Windows 8.1 Enterprise op TechNet/MSDN, nog niet op de Volume Licensing site

Als eerste het echte nieuws: Naast Windows 8.1 Pro is nu ook Windows 8.1 Enterprise beschikbaar voor mensen met een TechNet of MSDN Subscription.

image

Dat nieuws was te lezen in een wat verwarrende blogpost van Windows for your Business met de titel Windows 8.1 Enterprise RTM Now Available To Volume License Customers. Ik zeg verwarrend omdat de titel de indruk wekt dat Windows 8.1 Enterprise nu beschikbaar zou zijn op de Volume Licensing portal, wat dus niet het geval is. De auteur bedoelde dat 8.1 Enterprise op TechNet en MSDN te downloaden is en aangezien Volume Licensing klanten met SA ook een TechNet subscription hebben dus ook voor hen…

Maar Technet en MSDN software is bedoeld voor testen, evaluatie en development en niet voor gebruik ‘in productie’. Dus voor organisaties die Windows 8.1 en Server 2012 R2 daadwerkelijk in productie willen nemen is het nog even wachten tot het moment van General Availability: 18 oktober.

Friday, September 13, 2013

Nieuwe versie KEMP LoadMaster software: v7.0-8

Vandaag is versie v7.0-8 uitgekomen van de KEMP LoadMaster software. Big deal? Toch zeker wel want er zit weer een aantal mooie verbeteringen in. In dit artikel behandel ik er een paar van.

Cisco

De LoadMaster is sinds een tijdje ook beschikbaar voor Cisco UCS. De ondersteuning hiervoor wordt langzaam aan uitgebreid, zo werd de UCS B series al ondersteund en deze release voegt daar ook de C series aan toe.

Licensing

Je kunt iedere VLM gratis uitproberen en en als hij bevalt schaf je hem aan en kun je de software permanent blijven gebruiken. Dat is natuurlijk handig maar het heen en weer mailen van machine id’s, access codes, tijdelijke en permanente sleutels was een onhandig gedoe. KEMP heeft dit verholpen door over te stappen op een geautomatiseerd systeem. Ze noemen dit ALSI maar dat is eigenlijk niet belangrijk, het idee van het nieuwe systeem is juist dat het vanzelfsprekend werkt en geen uitleg nodig heeft. Laat staan een naam… En wat mij betreft zijn ze daar in geslaagd, alle stappen, urls en benodigde gegevens staan gewoon in het scherm.
image
Nadat je de link hebt aangeklikt maak je een account aan, deze gegevens voer je vervolgens in in bovenstaand scherm. Met een druk op de knop kun je de LoadMaster nu een maand uitproberen.
image
Deze procedure werkt 24x7 dus ok buiten kantoortijden, het is niet meer nodig om op een email te wachten. Voor Online Licensing hebt je uiteraard een internetverbinding nodig. Wanneer je die vanaf de Loadmaster niet hebt dan kun je ook kiezen voor een offline variant of zelfs het oude systeem.

ESP

Niet een nieuwe feature maar wel eentje met een aantal verbeteringen. Zo kun je bij de instellingen van het SSO domein nu kiezen of je gebruikers wilt laten inloggen met domain\gebruikersnaam of de UPN gebruiker@domein.tld.
image
Wat nog mist is het ingeven van een standaard domein, iets wat men gewend was om in te stellen op ISA, TMG of de CAS server.

Verder…

En verder zijn er onder de motorkap nog een aantal problemen verholpen, helaas nog niet het issue met verversen van de statistieken. Ook is de webinterface nog niet geschikt voor gebruik op een iPhone, maar de vraag is of je dat echt zou willen.
Je krijgt de nieuwe LoadMaster firmware in bezit door contact op te nemen met KEMP Support. Of als je nieuwsgierig bent door een gratis proefversie te downloadeneen gratis proefversie te downloaden

Thursday, September 12, 2013

Toevoegen SMTP domein werkt niet in Barracuda spam appliance

Vandaag werkte ik met een Barracuda Spam & Virus Firewall, met firmware versie 5.1.3.004. Tijdens de basisconfiguratie geeft je onder andere de eerste e-maildomeinen op waarvoor je mail wilt ontvangen. Na opslaan van deze wijzigingen bleek het niet direct te werken, inkomende mail op dit domein wordt geweigerd.

image

Na wat rondsnuffelen blijkt dat meer mensen hier tegenaan lopen. Een work-around is het Reloaden van de configuratie nadat je deze aangepast hebt. Navigeer hiervoor naar BASIC, Administration en dan onderaan de pagina bij System Management. Klik hier op de Reload-knop.

image

Barracuda is van het probleem op de hoogte en heeft het opgelost in versie 6.0.0.007 en hoger. Helaas zijn de 6.0 firmwares nog niet in General Release beschikbaar maar alleen voor early adopters. Navigeer voor meer informatie naar ADVANCED, Firmware Update.

Monday, September 9, 2013

Windows 8.1 en Server 2012 R2 te downloaden op MSDN en TechNet

Microsoft heeft de RTM-versie van Windows 8.1 en Server 2012 R2 klaargezet op MSDN en TechNet. Abonnees kunnen deze vanaf nu downloaden!

image

Dat is best verassend want eerder kondigde Microsoft nog aan dat deze voor alle groepen gebruikers pas op 18 oktober beschikbaar zou komen. Microsoft luistert dus nog wel naar de IT Pro's.

VMware vCenter installeren? Vervang de default certificaten!

VMware vCenter is de centrale beheerconsole voor een VMware ESX/ESXi/vSphere-omgeving. Met deze console kunnen beheerders virtuele servers aanmaken, aanzetten of uitschakelen, configureren en ook weer verwijderen.
 
Beheerders maken verbinding met de vSphere Client. Het spreekt voor zich dat deze communicatie versleuteld wordt, je wilt niet dat dit soort gevoelig verkeer afgeluisterd, vervalst of gemanipuleerd kan worden. En om zeker te weten dat je daadwerkelijk contact maakt met de vCenter server gebruiken we een SSL certificaat. Dat wil zeggen, dat is de bedoeling. Maar meestal als ik verbinding maak met een vCenter server krijg ik dit:
 
 
Natuurlijk is dit "probleem" makkelijk te omzeilen door het vinje te zetten of op Ignore te klikken. Maar wat gebeurt er dan eigenlijk? Deze meldingen kunnen je informeren over het feit dat er een man-in-the-middle aanval plaatsvindt. Of dat je je credentials aan een hele andere applicatie geeft in plaats van je vertrouwde vCenter server. Maar het grootste issue wat ik zie is dat je beheerders aanleert om certificaatmeldingen te negeren of te omzeilen. Dat staat haaks op het doel van SSL en certificaten, juist het controleren van het certificaat moet je extra zekerheid bieden.
 
Neem daarom als VMware specialist even de tijd om na te denken over PKI. Certificaten zijn al lang niet ingewikkeld meer en als je de taak hebt om een hypvervisorplatform uit te rollen dan zou je ook in staat moeten zijn om een certificaat aan te vragen en deze te installeren. Zo niet, lees je in in de materie. Als je de basics van een SSL verbinding snapt dan is de rest simpelweg het uitvoeren van een paar eenvoudige handelingen.
 
Zie voor meer informatie:
 

Friday, September 6, 2013

Forefront UAG updates en service packs

Al jaren belooft Microsoft meer lijn aan te brengen in updates en service packs voor de verschillende producten. Helaas zien we daar nog weinig vruchten van, updates installeren voor Windows is anders dan voor Office en er zit veel verschil tussen updates voor Exchange, Lync en SQL.

Ook voor Forefront UAG is dit het geval. Er zijn na de eerste release verschillende updates uitgebracht voor zowel UAG als het mee geïnstalleerde TMG. En helaas zijn ze niet cumulatief, wat betekent dat ze allemaal één voor één geïnstalleerd moeten worden, het voldoet niet om alleen de laatste versie te kiezen.

Wanneer je Forefront UAG nu download van TechNet of de Licensing website dan heeft deze SP1 al geïntegreerd, die laten we dus even buiten beschouwing. Na de initiële installatie zijn dit de updates en service packs die je nodig hebt, en wel in deze volgorde:

Inderdaad, die laatste wordt dan weer als Hotfix aangeboden.

En dan nog even het volgende, voor de meeste updates in dit rijtje is het niet voldoende om Administrator te zijn. Dus open een Command Prompt als Administrator (rechtsklik) en navigeer dan naar het updatebestand. Succes!

 

Friday, August 30, 2013

Event ID 1006 van MSExchangeDiagnostics: The performance counter [...] sustained a value of...

Op Exchange 2013 servers met CU2 geïnstalleerd kun je de volgende errors tegenkomen in het Application Log:
image
The performance counter '\\EXCH02\LogicalDisk(C:)\Free Megabytes' sustained a value of '28.510,00', for the '15' minute(s) interval starting at '30-8-2013 11:02:00'. Additional information: None. Trigger Name:DatabaseDriveSpaceTrigger. Instance:c:
Dit event is een bug in CU2 die er voor zorgt dat deze error iedere 15 minuten gelogd wordt. Het eerste issue is dat deze melding als Error gelogd wordt terwijl het soms gaat om vrijwel lege volumes. De tweede fout is dat het om volumes gaat waar geen databases op staan. En in sommige gevallen leidt dit vals alarm zelfs tot Back Pressure waardoor de server stopt met het accepteren van mail.
Een work-around die circuleert is het uitschakelen van deze trigger in het configuratiebestand van de Microsoft Exchange Diagnostics service. Dat gaat als volgt:
  • Open Notepad als Administrator
  • Navigeer naar de \Bin directory in de Exchange installatiedirectory.
  • Open het bestand Microsoft.Exchange.Diagnostics.Service.exe.config.
  • Zoek deze regel:
    • <add Name="Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.Triggers.DatabaseDriveSpaceTrigger" Assembly="Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.dll" Enabled="True" Role="Mailbox" />
  • Vervang True door False:
    • <add Name="Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.Triggers.DatabaseDriveSpaceTrigger" Assembly="Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.dll" Enabled="False" Role="Mailbox" />
  • Sla het bestand op en herstart de server of de Microsoft Exchange Diagnostics service
Een waarschuwing: Als je deze trigger uitschakelt dan kan dit er toe leiden dat een echt probleem niet opgemerkt wordt. Doe dit dus alleen als je zeker weet dat je geen schijfruimte-isseus zult hebben op de volumes waar je databases op staan.

Thursday, August 1, 2013

Versie 7.0-6 van de KEMP LoadMaster software is uit: aanrader!

KEMP Technologies heeft een update uitgebracht van de LoadMaster software. Dit is de tweede update van de nieuwe 7.0 software die eerder dit jaar beschikbaar kwam en onder andere het Edge Security Pack introduceerde. Een andere opvallende verandering in 7.0 is de verbeterde webinterface, die weliswaar nog steeds voor verbetering vatbaar is maar een stuk moderner aanvoelt en logische ingedeeld is.

In 7.0-6 worden een aantal nieuwe features geïntroduceerd, bestaande features verbeterd en bugs verholpen. Onder die verbeterde features valt bijvoorbeeld het werken met certificaten, real servers en de afhandeling van health checks op ESP virtual services. Ook zijn er een paar nieuwe talen toegevoegd voor de ESP imagesets:

image

Het is helaas nog niet mogelijk om aangepaste image sets toe te voegen, dat is wel jammer. Maar als work-around kun je voor Blank kiezen en in de SSO Greeting Message een HTML-string met bijvoorbeeld een link naar een logo opnemen.

Al met al raad ik aan om deze update te installeren. Wel heb je minimaal versie 6.0-42 nodig om te kunnen upgraden, maar die is alweer meer dan een half jaar geleden uitgebracht dus de kans is groot dat je al op een hoger patchlevel zit. Gebruikers van de VLM-100 of VLM-1000 die versie 7.0 en ESP willen gaan gebruiken moeten hiervoor een nieuwe VLM uitrollen, het wordt niet ondersteund om ESP in te schakelen op een ge-upgrade VLM.

Na het uitvoeren van de upgrade dien je de cache van je browser (in ieder geval voor het adres van de LoadMaster) te verwijderen.

Je vind informatie over updates van de firmware hier: http://forums.kemptechnologies.com/index.php?p=/categories/news De laatste release notes kun je hier downloaden: Full Release Notes. Nieuwe firmwares zoals deze zijn gratis beschikbaar voor alle klanten met een geldig supportcontract, aanvragen van de firmware doe je bij KEMP Support.

Tuesday, July 30, 2013

Tweede versie van Exchange 2013 CU2 uit: verplichte update

Een paar weken geleden bracht Microsoft de tweede Cumulative Update voor Exchange 2013 uit. Nog geen drie dagen later volgde dit artikel waarin een scenario beschreven wordt waarbij je de permissies van (Modern) Public Folders kwijt kunt raken.

In eerste instantie werd aangekondigd dat een interim update zou verschijnen met een oplossing voor dit probleem maar Microsoft heeft er voor gekozen om een aangepaste versie van CU2 uit te brengen waar deze fix in verwerkt is. En deze ‘v2’ van CU2 is vandaag beschikbaar gekomen.

Let even goed op:

Regardless of whether you are using modern public folders, we strongly recommend upgrading to this build of Exchange 2013 RTM CU2. Any security updates released for CU2 will be dependent on this build.

Dus ook als je de v1 versie van CU2 al geïnstalleerd had en geen gebruik maakt van Modern Public Folders, dien je evengoed de bijgewerkte versie te installeren. Downloaden doe je hier. Je herkent de nieuwe versie aan de toevoeging –v2 in de bestandsnaam:

image

Friday, July 19, 2013

Exchange 2013 CU1 en CU2 overschrijft OWA en ECP authentication settings

Een vervelend issue in Exchange 2013, na het installeren van een Cumulative Update (CU) worden de authenticatie-instellingen voor OWA en ECP/EAC terug op de default waardes gezet. Wanneer je bijvoorbeeld een reverse proxy gebruikt dan zal deze niet langer met Basic kunnen authenticeren tegen Exchange voor de /owa en /ecp virtual directories omdat Exchange beantwoordt met de FBA inlogpagina.

Dit issue zat al in CU1 en is helaas nog niet opgelost met CU2. Wel is er sinds een paar dagen een knowledgebase artikel die het issue omschrijft: The FBA page is displayed when a user accesses OWA or ECP to log on to Exchange Server 2013

In mijn geval heb ik alle servers in één site waarvan ik de settings identiek wil herstellen:

image

Ik kan nu gewoon alle OWA en CAS virtual directories opvragen en opnieuw configureren:

image

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -FormsAuthentication $false –BasicAuthentication $true
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -FormsAuthentication $false –BasicAuthentication $true

Gevolgd door een iisreset op iedere CAS server die nu aangepast is.

Laten we hopen dat Microsoft dit snel opgelost heeft en dat we deze fout niet in een volgende CU terug zullen zien. Interessant detail in het KB-artikel trouwens, er wordt gesproken over het Exchange 2013 Exchange Control Panel. Was de schrijver even vergeten dat dit in Exchange 2013 de naam Exchange Admin Center gekregen heeft?

Thursday, July 11, 2013

Baseboard Management Controllers: handig maar zo lek als een mandje

Het zit in bijna iedere server, een Baseboard Management Controller (BMC). Dat is een interface die je kunt gebruiken om buiten het OS om contact te maken met je server, bijvoorbeeld om een reset te geven of om juist een remote installatie van het OS te doen. Een voorbeeld van dat laatste is Bare Metal Deployment van System Center VMM waarmee je geautomatiseerd Hyper-V servers kunt uitrollen. Bijna 200 fabrikanten hebben een BMC in hun producten maar je kent ze misschien waarschijnlijk wel als Dell DRAC, HP iLO en Supermicro IPMI.

IPMI

Een BMC is een kleine embedded computer die meestal Linux draait en direct toegang heeft tot de devices op het moederbord. De interface om met de BMC te communiceren heet IPMI, dat staat voor Intelligent Platform Management Interface. Nu heeft Dan Farmer, een security researcher die aan de wieg stond van wat we nu kennen als vulnerability scanners, onderzoek gedaan naar de security van BMC en IPMI. De uitkomsten zijn niet bepaald geruststellend, IPMI implementaties bevatten een flink aantal beveiligingslekken en BMC’s zijn in sommige gevallen zelfs vanaf het internet bereikbaar.

Zwakke plekken

Zo worden bijvoorbeeld IPMI credentials unencrypted opgeslagen, is een brute-force attack op een password hash mogelijk, draait een kwetsbare versie van UPnP en staat bij andere merken een standaard anoniem account met beheerrechten ingeschakeld. Een ander veelvoorkomend issue is dat beheerders de standaard credentials van de BMC niet aanpassen, alleen HP genereert een uniek password aan de hand van het serienummer van de server. Voor andere systemen is het vaak mogelijk om in te loggen met root:calvin (Dell), ADMIN:ADMIN (Supermicro) of root:changeme (SUN/Oracle ILOM). En als je één achterdeurtje dichtzet dan staan er vaak nog twee andere open waarmee je de eerste ook weer open kunt zetten.

Risico’s

Het eerste probleem met deze kwetsbaarheden is dat de impact groot is. Toegang tot de BMC is vergelijkbaar met fysieke toegang tot de server, dit betekent dat je de server kunt rebooten met een geïnfecteerde bootdisk of in kunt loggen op een console. Het tweede probleem is dat het moeilijk is om je hier tegen te wapenen, bij de meeste systemen kun je de BMC namelijk niet uitschakelen tenzij je de stroom van de server haalt. Fabrikanten lijken zich ook nog niet echt bewust te zijn van de ernst en de noodzaak om hier meer aandacht aan te besteden.

Aanbevelingen

Kijkend naar deze bevindingen dan kun je het volgende in ieder geval doen:

  • Update de BMC firmware regelmatig
  • Zorg dat je een gescheiden VLAN voor Out-of-band management gebruikt en beperk de toegang tot dit netwerk
  • Pas het wachtwoord aan
  • Zorg dat je bekend bent met de vulnerabilities in jouw BMC en schakel kwetsbare functionaliteit uit, indien mogelijk

Lees voor meer informatie het artikel IPMI: Freight Train to Hell van Dan Farmer, of de verkorte versie IPMI: Express Train to Hell. Meer informatie over deze artikelen vind je op de site van de auteur.

Dan Farmer (bron: WikiPedia)

Wednesday, July 3, 2013

new-TestCasConnectivityUser.ps1 nog steeds stuk in Exchange 2013

Microsoft doet geweldige dingen op het moment, zo zit Exchange 2013 vol met interessante verbeteringen. Met name nu Microsoft steeds meer ervaring opdoet met grootschalige deployments in hun eigen Office 365 datacenters is voor het Exchange team ook steeds helderder waar de pijnpunten zitten. Dus is het nu makkelijker om te upgraden, is het eenvoudiger gemaakt om met meerdere sites te werken en is MAPI vervangen door het veel robuustere Outlook Anywhere.

En dan heb je nog van die bugs waar je vooral tegenaan loopt wanneer je Exchange inzet in normale klantomgevingen. Een voorbeeld is het new-TestCasConnectivityUser.ps1 script. Dit script maakt een testmailbox aan die gebruikt wordt door de verschillende Test-* cmdlets. Je vind dit script in de scriptsfolder in de Exchange directory, in EMS is dat pad beschikbaar in de variabele $exscripts.

cd $exscripts
./new-TestCasConnectivityUser.ps1

De testgebruiker wordt standaard in de \Users container geplaatst. Het issue hier is dat door een foutje in het script een foutmelding wordt gegeven wanneer je naast de standaard container \Users nog meer OU’s hebt met de naam Users, bijvoorbeeld \Organisatie\Afdeling\Users. Helaas is de foutmelding niet echt behulpzaam, laat staan correct:

CreateTestUser : Mailbox could not be created. Verify that OU 'Users' exists and that password meets complexity requirements.

Een workaround is om de naam van de OU mee te geven als optie bij het aanroepen van het script:

./new-TestCasConnectivityUser.ps1 –OU domain.local\Users

Komt dit issue je bekend voor? Dat kan, het zat ook al in Exchange 2010 en ik schreef er al eerder over in Januari 2010. Uiteraard heb ik dit ook gemeld aan Microsoft, als MVP kon ik dat direct bij het Exchange team doen. Helaas heeft dit niet voldoende prioriteit gehad en zit de bug er nog steeds in.

Tuesday, July 2, 2013

Mailbox moves in Exchange 2010: Post-move cleanup failed. The operation will try again in 30 seconds

Wanneer je in Exchange 2010 SP2 (UR3 of hoger) mailboxen verplaatst dan eindigen die vaak in status “Completed with warnings”. In het move requestlog zie je vervolgens de volgende regels:

Date & Time [Server] Move has completed and final cleanup has started.
Date & Time [Server] Source mailbox 'Primary (Mailbox GUID)' was successfully cleaned up after the move.
Date & Time [Server] Target mailbox 'Primary (Mailbox GUID)' was successfully reset after the move.
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (1/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (2/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (3/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (4/6).
Date & Time [Server] Post-move cleanup failed. The operation will try again in 30 seconds (5/6).
Date & Time [Server] Request is complete.

De mailbox lijkt succesvol verplaatst te zijn dus meestal negeren mensen deze meldingen maar. Wel is de bronmailbox nog aanwezig, er heeft namelijk een Soft Delete plaatsgevonden. Deze kunnen we op de bronserver verwijderen met een eenvoudig PowerShell script:

$Mailboxes = Get-MailboxStatistics –Database DB01| where {$_.DisconnectReason -eq “SoftDeleted”}
$Mailboxes | foreach {Remove-StoreMailbox -Database $_.database -Identity $_.mailboxguid -MailboxState SoftDeleted}

Dit issue treed op bij servers met SP2 en UR3 of hoger, het zou opgelost moeten zijn in UR1 voor SP3. Maar let op, op TechNet Forums zijn ook voorbeelden bekend waarbij het probleem dan nog steeds niet opgelost bleek te zijn. Zie voor meer informatie het KB-artikel Mailbox move operation fails when Update Rollup 3 or a later update rollup for Exchange Server 2010 SP2 is installed.

Monday, July 1, 2013

Exchange of Office 365? Installeer altijd de laatste updates voor Outlook

Naast de regelmatige Service Packs worden updates voor Office ook aangeboden in Cumulative Update packs. Je herkent deze aan de releasedatum in de naam, zo is op het moment van schrijven de meest recente versie voor Office 2013 bekend als Office 2013 Cumulative Update for June 11, 2013. Het verdient de aanbeveling om voor Office applicaties, met name Outlook, steeds de laatste Cumulative Updates geïnstalleerd te hebben.

Zo zijn bijvoorbeeld voor Exchange 2013 en Office 365 niet alleen een bepaald service pack vereist maar ook een recent Cumulative Update pack. Omdat in deze packs soms ook nieuwe functionaliteit geboden wordt of de werking van features aangepast wordt, is het erg belangrijk om alle computers in een bedrijfsomgeving op het zelfde (recente) niveau te hebben.

Maar hoe weet je nu wat de meest recente versie is? Dat is wat lastig omdat deze niet altijd aangeboden worden in WSUS of Microsoft Update. Daarom is er een speciaal KB-artikel die de meest recente updates voor Office 200, 2007, 2010 en 2013 vermeld: Cumulative updates are available from the Microsoft Office team to fix reported problems

image

Nog meer informatie over Office updates vind je op het Update center for Office, Office servers, and related products

OCAT wordt OffCAT: Office en Outlook Configuration Analyzer Tool

OCAT stond voor Outlook Configuration Analyzer Tool, een onbekende maar zeer krachtige tool om issues met de configuratie van Outlook naar boven te krijgen. Inmiddels is OCAT omgedoopt tot OffCAT en kan het de configuratie van meerdere Office applicaties onderzoeken. De werking is vergelijkbaar met de aloude Best Practice Analyzers zoals ExBPA: de tool scant de configuratie en vergelijkt deze met een database met best practices en aanbevelingen.

Bij het starten van de tool worden eerst de laatste updates gedownload:

image

Vervolgens kies je een applicatie om te analyseren en kies je eventuele aanvullende opties. Voor Outlook geldt dat je een offline scan kunt doen en een full scan, bij die laatste wordt ook de verbinding met je mailbox meegenomen. Een offline scan doet dit niet, deze gebruik je om Outlook 2003 te analyseren en als je bijvoorbeeld door een issue geen verbinding kunt maken met de server.

Na de scan kun je het rapportje bekijken en per gemeld issue doorlinken naar aanvullende informatie:

image

Meer uitleg over deze tool en een downloadlink vind je hier.

Friday, June 28, 2013

Office Mobile voor iPhone

imageMicrosoft heeft onlangs Office Mobile voor iPhone uitgebracht, deze heeft een andere layout maar biedt dezelfde functionaliteit als de versie voor Windows Phone. Office 365 abonnees krijgen hem in bezit als volgt:

Ga op de telefoon naar http://office.com/business-apps, klik op Office Mobile en download de app via iTunes. Aanmelden doe je vervolgens met je gebruikersnaam en wachtwoord voor Office 365. Veel plezier!

Bij het opstarten direct naar het Bureaublad in Windows 8.1

Windows 8 start standaard op in het Startscherm, niet meer naar het Bureaublad zoals in voorgaande versies. Op verzoek van veel gebruikers biedt Microsoft in Windows 8.1 de mogelijkheid om na het inloggen direct naar het Bureaublad te gaan. Helaas zit deze optie een beetje verstopt.

Op het bureaublad swipe je van links en kies je Settings, dan Control Panel. Kies hier Appearance and Personalization en kies dan onder Taskbar and Navigation de optie Navigation Properties. Een kortere route is om met de rechtermuisknop op je taakbalk te klikken en Properties te kiezen, vervolgens het tabblad Navigation aanklikken:

image

Zet hier een vinkje voor de optie When I sign in or close all… en bevestig met een klik op OK.

Tuesday, June 18, 2013

Certificaat wizard in Exchange 2013 maakt er een potje van

Bij het genereren van een certificaataanvraag viel me op dat de new Exchange certificate wizard de waardes voor de velden Organization name en Department name omwisselt. Als je ze invult als volgt:

image

Dan is dit de inhoud van de Certificate Signing Request:

image

De output van OpenSSL:

C:\OpenSSL-Win32\bin>openssl req -in req.req -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: CN=webmail.domain.com, OU=My Organization, O=My Department, L=City, ST=State, C=NL

Het gaat hier om een nieuwe Exchange 2013 installatie op basis van de CU1 bits, deze draait op Server 2012. Een work-around is makkelijk, vul gewoon de ‘verkeerde’ waardes in zodat de output klopt. Zijn meer mensen hier tegenaan gelopen?

Thursday, June 13, 2013

Waar vind ik makecert.exe?

Makecert.exe is een tool om zelf certificaten aan te maken, bijvoorbeeld een Management Certificate voor Windows Azure. Om makecert.exe in bezit te krijgen heb je Visual Studio nodig of the Windows SDK. Die laatste is gratis en veel minder ‘bloated’ dan Visual Studio.

De Windows SDK voor Windows 7 vind je hier, voor Windows 8 download je deze versie. Voor Makecert.exe heb je alleen de Windows Software Development kit nodig, de andere features in de installer kun je uitschakelen.

image

Als je het standaard pad gekozen hebt dan vind je makecert.exe in C:\Program Files (x86)\Windows Kits\8.0\bin\x64 Open een elevated CMD-prompt en navigeer naar deze directory:

image

Voor meer informatie over makecert.exe:

Makecert.exe (Certificate Creation Tool)

Create a Management Certificate for Windows Azure

Tuesday, June 11, 2013

Windows Server 2012 R2: de reïncarnatie van Forefront TMG?

Forefront TMG: RIP

Toen Microsoft aankondigde de stekker uit Forefront TMG te trekken riep dit vooral vragen op. Met name in de wereld van Exchange en Lync waar TMG de de facto standaard was geworden om in te zetten als reverse proxy. Of Exchange en Lync nu veilig genoeg zijn of niet, veel organisaties hebben het beleid dat verkeer van het internet niet rechtsreeks tot het interne netwerk toegelaten wordt.

Er viel dus een groot gat waar leveranciers als KEMP slim gebruik van maakten door reverse proxy functionaliteit aan hun producten toe te voegen. Maar load balancers staan doorgaan in het interne netwerk, een reverse proxy in de DMZ.

En dan maar geen reverse proxy dan? Of de duurdere Forefront UAG inzetten? Aan de kant van Microsoft blijft het angstvallig stil, in een enkele forumpost wijst men er op dat je eigenlijk ook best zonder reverse proxy kan. Ondanks dat de documentatie nog volop adviseert om een reverse proxy in te zetten…

imageReverse proxy in Server 2012 R2

Maar dan is het juni 2013 en kondigt Microsoft op TechEd een reeks van nieuwe versies van producten aan, waaronder Windows Server 2012 R2. Dit is de serverversie van wat nu nog bekend is als Windows 8.1. Reviewers leggen vooral de nadruk op virtualisatie en integratie met clouddiensten. Misschien terecht, want er is veel interessant nieuws te melden op dat vlak. Maar ander interessant nieuws is verstopt in dit artikel: What's New in Windows 8.1

Web Application Proxy

The Web Application Proxy is a new role service in the Windows Server Remote Access role. It provides the ability to publish access to corporate resources, and enforce multi-factor authentication as well as apply conditional access policies to verify both the user’s identity and the device they are using resources, and enforce multi-factor authentication as well as verify the device being used before access is granted.

Hier zien we de reverse proxy functionaliteit van ISA en TMG weer terugkomen. Een paar zaken die opvallen:

  • Interne resources publiceren
  • Multi-factor authentication
  • Toegang bepalen afhankelijk van de gebruiker en van het device waar hij op werkt
  • Inspectie van het device, voordat deze toegang krijgt

Deze functionaliteit uit zowel TMG als UAG komt dus beschikbaar als een role service in Windows Server 2012 R2. Dat beantwoordt een heleboel vragen over het terugtrekken van TMG, al vind ik de timing daarvan wel heel ongelukkig gekozen. TMG was te koop tot 1 december 2012 en men verwacht dat Windows Server 2012 R2 pas aan het eind van 2013 beschikbaar komt. Waarom gedurende een jaar geen reverse proxy bieden en nog belangrijker, de klanten in onzekerheid te laten.

En UAG dan?

Ook roept dit vragen op over de positie van Forefront UAG. ‘Killer app’ DirectAccess was al eerder als verbeterde versie geïntroduceerd in Server 2012 dus de vraag reist wat de meerwaarde van UAG dan nog is. Deze ondersteunt op dit moment geen Lync mobility scenario’s, er is geen versie voor Server 2012 of hoger en onder de motorkap wordt nota bene nog Forefront TMG gebruikt die al niet meer te koop is. Toch schrijft Microsoft in september 2012 nog:

It is important to note that there are no significant changes to the Forefront Identity Manager or Forefront Unified Access Gateway roadmaps.  These solutions continue to be actively developed.  Forefront UAG 2010 SP2 was released in August 2012 and Forefront Identity Manager 2010 R2 was release in June 2012.

Maar na UAG 2010 SP3 in februari 2013 is het angstvallig stil. Geen aankondiging voor een UAG 2012 of 2013 versie en ook geen rebranding naar System Center, wat ik persoonlijk verwacht had. Betekent dit dat UAG als los product ook op gaat houden en terugkomt in losse features in Windows Server 2012 R2? Een aantal vragen zijn vandaag beantwoord, andere vragen blijven voorlopig onbeantwoord.