Bug Outlook 2010
In caz ca folositi Outlook 2010 Beta ar fi bine sa instalati urmatorul update:
No more SIS in Exchange 2010
SIS sau Single Instance Storage este un mecanism de stocare folosit de la Exchange 4 si pana la Echange 2007. In cazul in care un mesaj este trimis mai multor recipienti care se afla in aceeasi baza de date Exchange, mesajul va fi stocat doar o singura data, reducand astfel considerabil spatiul ocupat in baza de date.
MS a facut ceva recomandari de pe cand a aparut Exchange 2007 si a recomandat ca SIS sa nu fie luat in calcul atunci cand se face dimensionarea serverelor; chiar daca la Exchange 2007 SIS era folosit doar la atasamente.
Iata ca incepand cu Exchange 2010 am aflat de ce s-au facut acele recomandari. Pentru ca in Exchange 2010 nu mai exista SIS. Pentru cei care si-au consolidat foarte multi useri pe cateva servere in datacenter, efectul o sa se faca simtit. Ca exemplu luati un mail de 5Mb trimis catre o lista de 2000 de useri de pe aceeasi baza de date. O sa ocupe ceva, nu? O sa conteze mai ales diferenta intre cat ocupa in Exchange 2007 si cat ocupa in 2010.
Bineinteles cu un planning facut cum trebuie inainte de implementarea Exchange 2010 nu ar trebui sa existe probleme. Sper ca beneficiile aduse prin performanta si HA sa compenseze lipsa acestui feature deoarece reactiile clientilor nu au fost foarte placute. Unii au venit chiar cu argumente care demonstreaza ca SIS aducea un plus de performanta care nu are cum sa fie acoperit de schimbarile din Exchange 2010 si platforma pe 64 de biti. De exemplu un atasament de 5Mb citit o singura data de pe disc si cache-uit o singura data in memorie. Asta comparativ cu 1000 de accese la disc si mult mai multa memorie ocupata. Cum poti intrece asta? Eu cred ca s-au impiedicat cumva in SIS la realizarea DAG-ului si nu au stiut ce scuza sa gaseasca.
Argumentul ca storage-ul e ieftin in ziua de azi nu e suficient pentru un bun admin. Exista costuri asociate si cu partea de backup & recovery care cresc odata cu dimensiunea bazelor de date.
PS: Exista si database compression in Exchange 2010 insa nu cred ca va compensa lipsa SIS-ului deoarece nu comprima atasamentele – este exact opusul lui Exchange 2007. 2007 comprima doar atasamentele, iar 2010 comprima doar message body-ul.
Cum imi programez sistemul sa intre in suspend?
Normal nu ar fi nimic complicat de facut, pentru ca ar merge facut din Power plan, insa eu urmaresc ceva putin diferit. Ceva in genul functiei Sleep de la TV. Chiar daca sistemul are activitate sau nu, la o anumita ora sistemul sa intre in sleep.
Daca as fi ales Shutdown sau Hibernate ar fi fost super simplu, pentru ca merge facut cu Shutdown.exe sau PSshutdown.exe (Sysinternals). De fapt si cu PSshutdown –d – accepteula merge pus sistemul in suspend dar are un comportament cam ciudat pe Windows 7.
Singura solutie cat de cat acceptata a fost folosind
Rundll32.exe Powrprof.dll,SetSuspendState Sleep
Detalii gasiti si aici: http://support.microsoft.com/kb/555569
Insa nici asa nu am obtinut efectul pe care il obtin folosind butonul Sleep din meniul shutdown:
Resume-ul din sleep-ul in care intra din buton se face prin orice apasare de tasta sau de click cu mouse-ul. In cazul sleep-ului facut via “Rundll32.exe Powrprof.dll,SetSuspendState Sleep” e nevoie sa apas butonul power.
Dar asta pe desktopul meu, cine stie, poate e si ceva hardware related. In scurt timp o sa incerc si un update de firmware.
Exploit VbScript (F1)
Pe scurt, nu apasa F1 daca vreo pagina web ti-o cere. Vulnerabilitatea afecteaza Windows 2000/XP/2003. Detalii mai jos:
http://www.microsoft.com/technet/security/advisory/981169.mspx
DNS Round Robin
DNS Round Robin e un mecanism destul de utilizat si cateodata neinteles. Azi m-am gandit sa explic cate putin despre cum functioneaza Round Robin.
DNS Round Robin este un mecanism de balansare a incarcarii serverelor, sau altfel zis, de distribuire a conexiunilor catre mai multe servere. Nu o sa explic scenariile pentru care este folosit ci o sa ma concentrez pe modul de functionare. Sa luam exemplul in care avem 4 servere web care au acelasi continut (static), si dorim sa distribuim conexiunile care vin catre numele DNS test.winadmin.local spre toate cele 4 servere. Prima data va trebui sa cream urmatoarele inregistrari in DNS:
test.winadmin.local. IN A 192.168.1.10
test.winadmin.local. IN A 192.168.1.20
test.winadmin.local. IN A 192.168.1.30
test.winadmin.local. IN A 192.168.1.40
Daca serverul nostru DNS are activata optiunea Round Robin, atunci cand un client va incerca sa rezolve test.winadmin.local, serverul ii va raspunde cu toate cele 4 IP-uri care rezolva catre numele test.winadmin.local.
Ok, o sa spuneti ca teoria si manualele Microsoft spun cu totul altceva, bla, bla. Nici o problema, intr-un fel si manualul are dreptate. Raspunsul serverului este de fapt o lista, care contine toate IP-urile de mai sus, si din care clientul il va folosi pe primul din lista. La fiecare interogare noua, serverul va roti IP-urile din lista, in asa fel incat de fiecare data clientul va avea o lista cu IP-urile dar in alta ordine. Putem vedea ce primeste clientul folosing nslookup:
De ce totusi 192.168.0.40 ramane primul in lista? Pentru ca serverul DNS are activata optiunea “Enable netmask ordering”. Aceasta optiune aranjeaza IP-urile in lista pe baza IP-ului de la care a venit cererea, in asa fel incat sa ofere cea mai apropiata adresa de client. Netmask ordering are prioritate peste round robin, asa ca daca ambele optiuni sunt activate (default) IP-urile din acelasi subnet (se face un simplu match in binar) cu clientul vor fi primele in lista.
Mai sus am testat cu NSLOOKUP pentru ca trece peste cache-ul local si imi arata direct raspunsul serverului. Daca as fi incercat doar cu ping raspunsul ar fi fost cache-uit local. Putem dezactiva cache-ul de DNS oprind serviciul DNS Client pe statia de pe care testam. Serviciul este responsabil pentru cache-uirea raspunsurilor, asa ca daca il oprim nu o sa mai fie nevoie sa rulam ipconfig /flushdns dupa fiecare test. Stati fara grija, serviciul nu este responsabil pentru functionarea interogarilor, asa ca in scenarii de troubleshooting e chiar recomandata oprirea lui. Se face cu NET STOP DNSCACHE.
Iata si exemplu de captura cu Wireshark:
Sa revenim, ca de aici incepe “distractia”. Ce IP alege clientul din lista care tocmai a primit-o? Normal ar trebui sa il ia pe primul, ca sa poata beneficia de Netmask Ordering . Doar ca nu functioneaza ca in carti. Clientul mai face si el Netmask Ordering local sau altfel spus Subnet Prioritization. Deci indiferent daca noi am activat pe server optiunea Netmask Ordering sau nu, clientul alege cel mai apropiat IP. Si uite asa Round Robin-ul in clipa asta se duce pe rapa mai ales atunci cand avem in lista un IP din acelasi subnet cu clientul.
Ca sa dezactivam Subnet Prioritization pe client trebuie sa adaugam urmatoarea cheie in registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters\PrioritizeRecordData de tipul REG_DWORD si valoarea 0.
Insa optiunea asta merge doar pe Windows 2000/XP/2003. Sa va mai zic ca la Windows Vista lucrurile s-au schimbat? Complicat, nu? De Vista nu prea stiu mare lucru pentru ca este un OS mort si nici nu are rost sa-mi mai pierd timpul facand research pe el.
Dar stiu ca exista acest KB http://support.microsoft.com/default.aspx?scid=kb;EN-US;968920 care explica despre cum sa dezactivezi Subnet Prioritization. Iar algoritmul dupa care ar trebui sa aleaga IP-ul e descris aici : http://www.ietf.org/rfc/rfc3484.txt.
Si cum nu se putea altfel, modul de procesare a raspunsurilor serverului DNS s-a schimbat din nou in Windows 7. In Windows 7, valoarea pentru OverrideDefaultAddressSelection din KB-ul de mai sus e implicit 1.
Cu toate astea, Windows 7 ignora ordinea inregistrarilor primite de server si alege random (CRED, pentru ca nu am reusit sa stabilesc un pattern si nici nu am acces la codul sursa) o inregistrare din lista. Nu am reusit sa gasesc nici un mod prin care sa il fortez sa foloseasca primul IP din lista returnata de server.
UPDATE: Se pare ca by default Windows 7 respecta raspunsul primit de server si alege primul IP din lista. Totusi, in cazul testului facut mai sus, cu IP-urile de acolo si cu un client cu ip-ul 192.168.0.131, lucrurile o iau razna. Daca reuseste cineva sa repete testul il rog sa ma anunte.
Pffff .. cam complicat Round Robin-ul asta pentru o singur bifa in consola DNS.
A sysadmin devotion to duty
Via Bmoro 🙂
Customizing Exchange 2010 Mailtips
Intr-un post anterior am prezentat Mail Tips si am vazut cam ce ofera nou pentru utilizator. Acum o sa incercam sa configuram Mail Tips si acolo unde se poate sa customizam.
Vit mi-a atras atentia ca ne alerteaza si atunci cand trimitem catre un recipient extern. Doar ca by default nu face asta. Optiunea trebuie activata la nivel de organizatie.
Cu Get-OrganizationConfig | fl *mailtips* vedem setarile ce tin de mailtips.
Ca sa activam mailtips pentru external recipients folosim comanda urmatoare:
Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled:$True
Acum cand trimit un email unui user extern organizatiei mele primesc un avertisment in Outlook:
La fel se intampla si atunci cand trimit unei liste de distributie care contine un recipient extern.
MailTipsLargeAudienceThreshold se refera la numarul de membri ai unui liste pentru a fi considerata Large Audience.
Pentru a intelege mai bine la ce se refera MailTipsGroupMetricsEnabled ar fi bina sa aruncati un ochi aici. MailTips se foloseste de Group Metrics pentru a determina daca un grup intra la categoria Large Audience sau are recipienti externi. Group Metrics ruleaza odata pe zi pe serverul care genereaza OAB si singura metoda de a-l forta sa ruleze in afara perioadei schedulate este de a restarta serviciul Exchange Service Host. Atentie si la scenariile de coexistenta 2007 cu 2010: daca OAB-ul este generat pe un server cu Exchange 2007, informatiile despre Group Metrics nu vor fi generate. La fel si pentru cazul in care OAB-ul este distribuit numai prin Public Folders.
Informatiile despre Group Metrics sunt puse intr-un share numai Group metrics pe serverul de pe care se genereaza urmand a fi preluate de acolo de CAS prin serviciul Exchange File Distribution.
Ultima optiune despre care vom discuta este MailTipsMailboxSourcedTipsEnabled si se refera la adaugarea de MailTips la nivel de obiect (mailbox, contact ,grup). Pentru a face acest lucru folosim optiunea MailTip din urmatoarele cmdlet-uri:
Set-Mailbox
Set-MailContact
Set-MailUser
Set-DistributionGroup
Set-DynamicDistributionGroup
Set-MailPublicFolder
In exemplul de mai jos am setat o descriere pentru un grup; descriere care va fi afisata de fiecare data cand cineva incearca sa trimita un email grupului.
Exista o limita de 250 de caractere pentru aceste MailTips, si mai pot fi setate si traduceri ale acestor mesaje prin parametrul – MailTipTranslations.
That’s all for today!
HTH
Forefront Client Security – Configuring
Acum că am instalat FCS, să-l configurăm în așa fel încât să instaleze clientul de antivirus pe stațiile din domeniu. Nu uitați să instalați ultimele actualizări Microsoft, în special FCS Service Pack 1 și cele câteva actualizări pentru FCS.
Deschidem consola Forefront Client Security și selectăm tabul Policy Management.
Selectăm New pentru a crea o politică nouă.
Îi dăm un nume și introducem un comentariu, ca să știm și peste 2 ani ce face politica respectivă 🙂
În tabul Protection selectăm dacă dorim protecție antivirus și/sau antispyware.
Selectăm când și cum să se scaneze calculatoarele (Full sau Quick) și dacă dorim scanare de tipul Security State Assessment.
Practic, SSA scanează unele aplicații, servicii, parole care nu expiră, utilizatorul Guest activat, actualizări neinstalate etc., ceva gen Microsoft Baseline Security Analyzer.
Mai multe detalii despre Security State Assessment găsiți aici http://technet.microsoft.com/en-us/library/bb418876.aspx, inclusiv lista cu tot ce se scanează.
În tabul Advanced configurăm când calculatoarele verifică dacă sunt definiții noi și, foarte important, putem alege dacă permitem verificarea de definiții de pe Microsoft Updates când calculatoarele nu au acces la WSUS.
Jos, la Client options, selectăm dacă permitem utilizatorilor să modifice setările făcute sau dacă au acces la consola antivirusului sau văd doar iconița acestuia în task bar.
În tabul Overrides specificăm ce se întâmplă dacă un virus anume este găsit sau o vulnerabilitate dintr-o anumită clasificare.
În tabul Reporting specificăm nivelul de raportare. Din experiența mea, nivelul 3 pare a fi cel mai ok.
După ce am creat politica, aceasta trebuie trimisă la clienți (calculatoare). Selectăm Deploy.
Metoda de deployment diferă în funcție de infrastructura fiecăruia. În cazul meu, toate serverele sunt într-un OU, deci metoda cea mai simplă pentru mine va fi să creez politica pe OUul respectiv.
Dacă ne uităm acum in Group Policy Management Console, o să vedem politica creată pe OUul specificat de mine. Politica ia un nume ciudat dar ar fi bine să nu-i schimbăm numele.
Dacă din consola Forefront modificăm politica, obligatoriu trebuie să-i dăm din nou Deploy.
Să vedem cum arată clientul de antivirus pe un server care a primit și a instalat deja FCS folosind WSUSul.
Două lucruri mai trebuie făcute pentru a avea o infrastructură funcțională 100%:
- Crearea unui group policy pentru Windows Update. Acesta trebuie configurat să permită instalarea automată a actualizărilor care nu deranjează utilizatorii și nici nu cer restart (Allow Automatic Updates immediate installation) și specificarea serverului de WSUS (Specify intranet Microsoft update service location).
- În consola WSUS, la Options – Automatic Approvals, trebuie creată o regulă care va aproba și instala definițiile pentru FCS.
Cam atât pentru o configurație minimă a produsului Forefront Client Security.
Inca un mod de a lista componentele pe Windows OS.
Dupa ce m-am obisnuit cu OCSETUP, SERVERMANAGERCMD si GET-WINDOWSFEATURE, am descoperit ca mai exista inca un tool pentru listarea componentelor din sistemul de operare.
DISM – Deployment Image Servicing and Management tool
Tool-ul este folosit in special pentru a configura pachetele din imagini (WIM), insa cu optiunea /online se poate lucra pe OS-ul de pe care este rulat tool-ul.
Iata ca exemplu output-ul comenzii “dism /online /get-features”
Puteam incerca si optiunea /enable-feature insa nu am reusit sa obtin nimic impreuna cu parametrul /online. Nu da eroare, ci doar cere restart, insa fara nici un efect.
Deci, tot WIM-urile raman scopul de baza al acestul tool. Poate-l conving pe Vit sa scrie despre partea asta 🙂
Windows Easy Transfer
Am mai scris in trecut despre Windows Easy Transfer si despre cat de usor iti poti muta datele de pe un sistem pe altul (la fel de util este si in cazul reinstalarii sistemului de operare).
Ieri am migrat pe alt laptop schimband cumva si OS-ul, de la Windows 7 x86 am trecut la versiunea x64. Si merge … “like a charm”.
PS:totusi nu e chiar perfect, nu mi-a setat semnatura in Outlook si nu mi-a pus nici parola pentru wlan-ul de acasa 🙂