Co je nového v Exchange 2010 SP2 MIROSLAV KNOTEK Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. knotek@kpcs.cz www.kpcs.cz
Agenda Několik zajímavostí o Exchange 2010 SP2 Nové funkce po SP2 OWA Mini Hybrid Configuration Wizard Address Book Policies OWA Cross Site Silent Redirection Drobné změny po SP2 Praktické zkušenosti s nasazením
Exchange SP2 - fakta SP2 je k dispozici od 12/2011 (aktuálně RU2 pro SP2) Exchange 2010 má více než 20 miliónů řádků kódu bugům se tak není možné zcela vyhnout. SP pro Exchange jsou dnes vždy o nových funkcích + opravách V SP2 je opraveno 500 chyb a jsou zde 4 nové funkce U každé chyby je váženo riziko, náklady a dopad (kolik zákazníků opravu využije). Řešení některých málo podstatných chyb může být tak zcela odloženo až na novou verzi Exchange
A první je tu. OWA mini
OMA? Ne, to je OWA Mini! OMA z Exchange 2003 je zpět v Exchange 2010 SP2! Po této funkci je především poptávka na trzích, kde stále vládnou nechytré telefony bez Activesync. Jednoduchá administrace pomocí EMS Kompletně nový kód, nic z Exchange 2003 nebylo použito. Podpora úkolů! Je to ve skutečnosti sada OWA formulářů spíše než samostatná aplikace proto OWA Mini
Správa OWA Mini Zapnutí/vypnutí funkce pomocí Set-OWAMailboxPolicy Set-OWAMailboxPolicy Name -OWALightEnabled:$True OWA Mini je ve skutečnosti alternativní pohled pomocí OWA, proto jsou pro OWA děděny parametry OWA mailbox politik a segmentace Nepodporované funkce (např. IRM) v politice jsou secure by default tzn. vypnuté pro OWA Mini ActiveSync politiky se neaplikují na OWA Mini Plně podporované funkce jako kalendář, kontakty atp. mohou být kontrolovány na úrovni politiky (zapnutí/vypnutí) Podpora jazyků je stejná jako pro OWA. Pokud bude přidán nový jazyk pro OWA, OWA mini ho bude podporovat také.
DEMO OWA mini
The Hybrid Configuration Wizard
Hybridní konfigurace Feature Staged Hybrid Mail routing between on-premises and cloud (recipients on either side) Mail routing with shared namespace (if desired) - @company.com on both sides Unified GAL Free/Busy and calendar sharing cross-premises Mailtips, messaging tracking, and mailbox search work cross-premises OWA Redirection cross-premise (single OWA URL for both on-premises and cloud) Exchange Online Archive Exchange Management Console used to manage cross-prem relationship & mailbox migrations Native mailbox move supports both onboarding and offboarding No outlook reconfiguration or OST resync required after mailbox migration Exchange Sharing Mailbox Move Online Mailbox Move allows users to start logged into their mailbox while it is being moved to the cloud Secure Transport Secure Mail ensure emails cross-premises are encrypted, and the internal auth headers are preserved Centralized mailflow control, ensures that all email routes inbound/outbound via On Premises
Hybridní konfigurace: serverové role Dvě povinné serverové role: Office 365 Active Directory synchronizace Exchange Server 2010 SP1 CAS/Hub* Jedna volitelná role: Active Directory Federation Services Office 365 Directory Sync Unified Global Address List AD FS Exchange Server 2010 SP1 CAS/Hub * MBX role je vyžadována pro podporu Veřejných Složek a jejich Free/Busy informací na Exchange 2003
Hybrid Configuration Wizard Navrženo pro razantní zjednodušení propojení on-premises Exchange a Ofiice 365 v hybridním režimu Před SP2 bylo pro nastavení potřeba 49 kroků, nyní je jich potřeba jen 6 >80% úspora pro správce
The Hybrid Configuration Wizard
Address Book Policies (nahrazuje GAL Segmentation)
Co je vlastně GAL segmentace Ve výchozím stavu Exchange GAL obsahuje všechny mail enabled objekty GAL segmentace znamená rozdělení GAL a address listů Proč bychom to měli dělat? Právní důvody uživatelé se nesmí navzájem vidět v GALu Optimalizace rozsáhlý GAL, ale firma je rozdělena na menší logické jednotky Hosting poskytujeme hosting více organizacím na jedné platformě a nesmí se vidět navzájem
Trochu historie V době Exchange 2000 bylo vydáno KB, ale ke zneplatnění došlo po vydání HMC Exchange 2003, žádný podporovaný postup Exchange 2007, nový whitepaper Exchange 2010, padlo rozhodnutí zabudovat definitivně tuto funkci do produktu Umožňuje systematické testování Řešení je plně podporováno Po této funkci byla veliká poptávka
Jak fungovala předchozí řešení Založena na kombinaci metod Použití ACL na GALy and ALy Zákaz na úrovni kořenového kontajneru Allow to a specific AL Vyžaduje správu členství bezpečnostních skupin a konfiguraci ACL MsExchQueryBaseDN (pro OWA není třeba od SP1) Specifikuje pro každého uživatele základní OU od kterého se pro uživatele vyhledává (Závislost na hierarchii OU) Přiřazení OABu k uživateli Specifikuje OAB, který je uživateli přiřazen Outlook/Exchange se rozhodují, který GAL zobrazit, pokud je více možností
Proč to bylo špatně? Použití bezpečnostních skupin, QBDNS a OAB přiřazení na uživatele znamená skriptování, jinak řešení přestane být rychle funkční Jakmile se změnilo něco uvnitř Exchange, různé části GAL segmentace přestávaly fungovat Vše je založeno na hierarchii OU, což je pro řadu situací příliš omezující uživatel nemůže být ve více OU
Address Book Policies - Úvod Novinka v SP2: Address Book Policies (ABP) umožňuje docílit GAL segmentace v Exchange 2010 podporovaným způsobem ABP pracují na principu přímého přiřazení GAL a AL místo nastavování práv (allow/deny) na všech address listech ABP se aplikují pouze na uživatele se schránkou na Exchange 2010, protože tato funkce je realizovaná v rámci 2010 SP2 CAS Address Book Service Jakýkoliv požadavek, který prochází skrz Address Book Service na CASu, je kontrolován proti ABP přiřazené uživateli
Přiřazení ABP Address Book Policy A Address Lists AL1 AL2 AL5 AL6 Default Address List GAL1 Room Address List RM AL 1 Uživatel Offline Address Book OAB B Saved Filter = LDAP=AL1+AL2+AL5+AL6+RM AL 1+ GAL1 AL 1 AL 2 AL 3 OAB A OAB A = AL1 + AL3 + AL4 GAL 1 GAL 2 RM AL 1 AL 4 AL 5 AL 6 OAB B OAB B = AL1 + AL2 + AL5 + AL6 + GAL1 GAL 3 GAL 4 RM AL 2
Co vše je nasazením ABP ovlivněno? ABP funguje pro každého klienta, který využívá CAS pro přístup do adresářů: Otevření address list pickeru Pokud o překlad/doplnění jména nebo aliasu Přidávání schránky zdroje do pozvánky Prohledávání GALu Prohledávání adresářů z Outlook Voice Access Adresářové dotazy v mobilním zařízení Prohlížení členství ve skupinách Ano pokud je uživatel ve skupině mimo ABP, není vidět To znemožňuje GAL mining zkoumáním member/member of atributů Na druhou stranu to znamená, že možná posíláme mail více lidem, než si myslíme a MailTipy nám mohou neříkat pravdu
ABP scénáře nasazení Tailspin Inc. Address Book Policy Fab Users and DL s Users and DL s Address Book Policy TAIL Address Lists AL-FAB-Users-DL s AL-FAB-Rooms AL-FAB-Contacts AL-FAB-Users-DL s AL-TAIL-Users-DL s Address Lists AL-TAIL-Users-DL s AL-TAIL-Rooms AL-TAIL-Contacts Default Address List GAL-FAB Contacts Room Mailbox Contacts Room Mailbox Default Address List GAL-TAIL Room Address List Room Address List AL-FAB-Rooms Offline Address Book AL-FAB-Contacts AL-FAB-Rooms AL-TAIL-Contacts AL-TAIL-Rooms AL-TAIL-Rooms Offline Address Book OAB-FAB OAB-TAIL GAL-FAB OAB-FAB GAL-TAIL OAB-TAIL
ABP scénáře nasazení Big Boss Address Book Policy Fab Address Lists AL-FAB-Users-DL s AL-FAB-Rooms AL-FAB-Contacts Default Address List GAL-FAB Room Address List Contacts Users and DL s AL-FAB-Users-DL s Room Mailbox Contacts Users and DL s AL-TAIL-Users-DL s Room Mailbox Address Book Policy Boss Address Book Policy TAIL Address Lists Address All The AL s Lists There Are AL-TAIL-Users-DL s AL-TAIL-Rooms Default Address List AL-TAIL-Contacts Default GAL Default Address List Room Address List GAL-TAIL Default All Rooms Room Address List AL-FAB-Rooms Offline Address Book AL-FAB-Contacts AL-FAB-Rooms AL-TAIL-Contacts AL-TAIL-Rooms AL-TAIL-Rooms Offline Address Book Default OAB Offline Address Book OAB-FAB OAB-TAIL GAL-FAB OAB-FAB GAL-TAIL OAB-TAIL
ABP scénáře nasazení Principal Faculty Address Book Policy Student Class A Address Lists Teacher A Teacher B Address Book Policy Principal Address Lists AL-Class A AL-All Teachers AL-All Groups Default Address List GAL-Class- A Class A - All Class A Class B Student 1 Student 2 Class B - All AL-Class A AL-Class B etc AL-All Teachers AL-All Students AL-All Groups Default Address List GAL-Principal Everyone DL Object Members Address List Scope DL Object Members Class A - All 3 Class X All students in a specific class (one per class) Class A - All 3 Class B - All 2 All Teachers Where attribute y = teacher or principal Class B - All 3 Everyone 4 All Students Where attribute z = student Everyone 5 Faculty 3 All Groups Where object = type - group Faculty 3
DEMO Address Book Policies
ABP tipy pro nasazení Úspěšné nasazení ABP je především o naplánování toho, kdo co může nebo naopak nesmí Vybrané tipy Používejte standardní vestavěné existující atributy pro rozlišení společnosti/divize/třídy nebo čehokoliv jiného, podle čeho uživatele budete rozdělovat Distribuční listy nemají atribut Company! Custom atributy nalezneme u všech mail enabled objektů (Exchange schéma) Definovat jednoduché AL a GAL filtry kdykoliv je to jen možné a ty společně začlenit do ABP Konfigurovat OABy založené na GAL nikoliv AL Je důležité se ujistit, že uživatel je součástí vlastního GAL
Ještě něco bychom měli vědět? ABP nemůže zabránit komukoliv připojit se přímo do AD a obejít logiku ABP Jakýkoliv LDAP klient např. Outlook Mac/Entourage používající LDAP nebude fungovat s ABP Také není možné použít ABP, pokud je Exchange instalován na GC, protože pak se používá NSPI poskytované AD, nikoliv Address Book Service Pokud máte DL překračující hranice ABP, musíte vypnoutgroup Management v ECP, neboť ECP používá Get-Group, který ignoruje ABP Nezkoušejte kombinovat ABP a restrikce ACL (jen krátkodobě v průběhu migrace) ani používat QBDN s
Jak na migraci z ACL? Pokud používáte model restrikcí z Exchange 2007, můžete zmigrovat na ABP bez větších potíží Nejprve vytvořte ABP, které odpovídají restrikcím ACL Instalace Exchange 2010 musí být schopna číst výchozí GAL Při migraci schránek musíte přiřadit ABP a odebrat QBDN z objektu uživatele Můžete také odebrat nastavení OAB uživatele, neboť to bude přiřazeno prostřednictvím ABP Je potřeba chování otestovat!
Migrace Exchange 2007 s ACL segmentací Existuje postup Exchange 2010 SP2 s ABP Exchange 2010 s ACL segemntací HMC Existuje postup Exchange 2010 SP2 s ABP
Pokud poskytujete hosting MS podporuje hostování Exchange 2010 s SP2 a použití ABP ale jsou zde určité výjimky V tuto chvíli neexistuje detailní postup, ale budou zdokumentovány hranice toho, co je podporováno a co není ABP neřeší všechny problémy, se kterými se hosting potýká ABP neposkytuje oddělení z právního pohledu ABP neomezuje právo Default v rámci celé platformy ABP neomezuje prezenci v technologii Lync mezi organizacemi Interní OOF se posílá mezi organizacemi na stejné platformě Provisioning, billing, servisní plány, throttling atp. Exchange nebude podporovat /hosting mód
OWA Cross Site Silent Redirection
Proč bychom to měli chtít? Před Exchange 2010 SP2, pokud se pokusíte využít OWA na CASu ve špatné site, CAS musí učinit rozhodnutí Může se rozhodnout pro proxy nebo redirect do správné site Pokud není vyplněno ExternalURL, zvolená akce je proxy, schránka se otevře a uživatel do ní přistupuje Pokud cílová site má vyplněno ExternalURL, uživateli je zobrazena stránka s odkazem Uživatel klikne na odkaz, znovu se přihlásí a získá přístup Uživatel se přihlašuje dvakrát Touto funkcí je ostraněn nadbytečný klik Tím pádem pro tento scénář zajistíme SSO
a nyní Jak to vypadá před SP2 Huráá
Drobné změny po SP2
SP2 drobné změny (auto-mapping) Možnost vypnout Outlook Auto-mapping Add-MailboxPermission -Identity ' KPCS info' -User 'Miroslav Knotek' -AccessRight FullAccess -InheritanceType All -Automapping $false
SP2 drobné změny (litigation hold) V Exchange 2010 SP2 není možné vypnout nebo smazat schránku se zapnutou funkcí litigation hold Pro cmdlety přidán nový parametr IgnoreLegalHold Disable-Mailbox Remove-Mailbox Disable-RemoteMailbox Remove-RemoteMailbox Disable-MailUser Remove-MailUser
SP2 drobné změny (MRSProxy) MRS proxy pro cross-forest move mailbox je stále ve výchozím stavu vypnutá Nově je zapnutí možné provést prostřednictvím EMS Set-WebServicesVirtualDirectory -Identity "EWS (Default Web Site)" - MRSProxyEnabled $true -MRSMaxConnections 50
SP2 drobné změny (nové custom atributy) 5 nových custom atributů ExtensionCustomAttribute1 ExtensionCustomAttribute5 Jsou vícehodnotové (multi-value) Každý může mít až 1300 hodnot Přímá podpora v cmdletech Set-DistributionGroup Set-DynamicDistributionGroup Set-Mailbox Set-MailContact Set-MailPublicFolder Set-RemoteMailbox
SP2 drobné změny (obnova smazaných dat z PF) V původním znění bez titulků Note: Exchange Server 2010 Service Pack 2 fixes an issue where users were unable to use Outlook to recover deleted public folders. This is another reason to upgrade your Exchange Server 2010 systems to SP2 at the earliest opportunity. http://blogs.technet.com/b/exchange/archive/2012/02/06/recoveringpublic-folders-after-accidental-deletion-part-1-recovery-process.aspx
Nasazení Exchange 2010 SP2 prakticky
SP2 prakticky požadavky (infrastruktura) SP2 vyžaduje rozšíření AD schéma (práva, schema master atp.) OS minimum Windows 2008 SP2 Windows 2008 R2 Windows PowerShell execution policy group policy musí být alespoň pro dobu nasazení na Exchange 2010 nastaveno na Undefined
SP2 prakticky požadavky (OS funkce) SP2 vyžaduje doinstalování komponenty IIS IIS 6 WMI Compatibility Buď doinstalovat předem nebo spustit Setup /Mode:Upgrade /InstallWindowsComponents
SP2 prakticky požadavky (Unified Messaging) Před povýšením Unified Messaging role je třeba odinstalovat jazykové sady jiné než en-us
SP2 prakticky problémy po SP2 Nefunkční Exchange Web Services (EWS) za podmínky Exchange 2010 SP2 Název databáze obsahuje znaky ( (, ), : ) Uživatel z takovéto databáze se připojí do schránky Opraveno v SP2 RU1 http://support.microsoft.com/kb/2665115/en-us
SP2 prakticky problémy po SP2 RU1 Nefunkční CAS to CAS proxy Opraveno v SP2 RU2 http://support.microsoft.com/kb/2665115/en-us Note that this fix will not cause the CAS to CAS OWA proxying incompatibility with Exchange 2007 as discussed here. No additional updates are required on Exchange 2007 for proxying to work once Exchange 2010 SP2 RU2 is installed.
Shrnutí přínosu SP2 Opraveno mnoho kritických chyb a přidány 4 žádané funkce Určitě si přečtěte release notes ale vážně si to přečtěte! Stejně jako s kterýmkoliv jiným SW, otestujte SP2 ve Vašem prostředí a s Vašimi uživateli Čtěte http://blogs.technet.com/b/exchange/ pro nejnovější informace (nové umístění for msexchangeteam.com)
Shrnutí přínosu SP2 Opraveno mnoho kritických chyb a přidány 4 žádané funkce Určitě si přečtěte release notes ale vážně si to přečtěte! Stejně jako s kterýmkoliv jiným SW, otestujte SP2 ve Vašem prostředí a s Vašimi uživateli Čtěte http://blogs.technet.com/b/exchange/ pro nejnovější informace (nové umístění for msexchangeteam.com)
Školení této oblasti naleznete v nabídce Počítačové školy Gopas na www.gopas.cz Každý odevzdaný dotazník bude v místě registrace odměněn tričkem s hlavou plnou vědomostí. Vaše spokojenost je pro nás vždy na prvním místě.