Tipy a triky

Alternativní klienti pro Windows Remote Desktop

Jiří Hýzler — Wed, 09 Apr 2008 09:41:16 GMT

Představovat RDP klienta snad ani nikomu nemusím, pokud ale každý den používáte tohoto připojení k několika serverům, brzy vás přestane bavit neustále vyplňovat jméno nebo IP adresu počítače a další nastavení a začnete se poohlížet po nějakém "lepším" řešení.
Můj kolega Petr Bouška o tom napsal pěkný článek, který si můžete přečíst zde: http://www.samuraj-cz.com/clanky/administrace/alternativni-lepsi-klienti-pro-windows-remote-desktop/, kde srovnává několik zdarma řešení.
Pro úplnost jen doplním odkaz na změny v RDC 6.1: http://blogs.msdn.com/ts/archive/2007/12/17/changes-to-remote-administration-in-windows-server-2008.aspx.

Přechod na Exchange Server 2007

Jiří Hýzler — Tue, 11 Mar 2008 11:05:13 GMT

Tento článek není step-by-step návodem jak provést migraci na Exchange Server 2007, na to jsou školení a jiné weby, ale spíše dává pár užitečných rad na co si dávat během migrace pozor nebo co provést po instalaci. To co budu dále popisovat se týká organizace s jedním Exchange Serverem 2003, pokud máte více serverů, různé verze, napojením na produkty třetích stran, tak samozřejmě ten přechod může být složitější. Jako MAPI klienty předpokládám MS Office Outlook 2007. Máte-li nějaké další tipy, vůbec se jim nebráním.

Příprava
Zdůrazňuji, aby jste přípravu rozhodně nepodceňovali, protože se vám to později může krutě vymstít. Tak předně důkladně zkontrolujte požadavky pro instalaci Exchange Server 2007 a když říkám zkontrolovat, tak tím opravdu myslím zkontrolovat (ne jako se mi stalo u jednoho zákazníka, který mě neustále ujišťoval, že má nainstalované příslušně service packy a po té co proces migrace zkolaboval, se ukázalo, že je tam nemá).
Microsoft má na to pěkný checklist: http://technet.microsoft.com/en-us/library/bb125239.aspx

Dalším krokem je kontrola systémových požadavků pro Exchange 2007 a příprava Active Directory na Exchange 2007. Rozcestník na tyto kroky je třeba zde: http://technet.microsoft.com/en-us/library/bb123517.aspx

Zvláštní poroznost věnujte zejména přípravě Active Directory. U zase jiného zákazníka se mi stala velmi podivná věc. Všechny parametry (/PrepareLegacyExchangePermissions, /PrepareSchema, /PrepareAD i /PrepareDomain) setup.com se provedly OK bez zjevné známky chyby. Dokonce i instalace kupodivu proběhla na první pohled v pořádku, ale už na ten druhý podle silně červenajícího Event logu tomu tak nebylo. Chyby byly téměř nic neříkající, jen jediným vodítkem bylo cannot query Active Directory - access denied. K mému překvapení byly sice všechny Exchange skupiny založeny v AD v kontejneru Microsoft Exchange Security Groups, ale nikdo nebyl členem ani v jedné z nich. Dále jsem zjistil, že chybí i uživatelská práva (user rights) pro tyto skupiny a chybí i některá oprávnění na kontejner Microsoft Exchange v konfigurační partition AD. To že se něco nenastavilo, by mi tolik nevadilo (může to být způsobeno silným zabezpečení AD), spíš mi vadí, že mi to všude psalo completed a nic mě to neupozornilo. No nic, stalo se mi to jen jednou, třeba to byla shoda nějakých náhod.
Každopádně užitečný dokument, který mi tenkráte pomohl, bych vám doporučil v každém případě si přečít, mimo jimé je tam vysvětleno co se děje při "modifikaci" AD a jak to zkontrolovat a popř. napravit:
White Paper: Preparing Active Directory for Exchange 2007 - http://technet.microsoft.com/en-us/library/bb288907.aspx

Kontrolu po instalaci Exchange, textových setup logů, startování běžících služeb nebo odeslání e-mailu mezi dvěma uživateli snad ani nemusím připomínat.

Migrace (s koexistencí)
Dále budu popisovat situaci, kdy v jedné Exchange organizaci vám nyní běží stávající Exchange 2003 a nový Exchange 2007 a budete chtít přestěhovat všechny služby a data na nový a starý Exchange nakonec odinstalovat.

Po instalaci nového Exchange serveru 2007, je potřeba propojit routing groups pomocí Routing Group Connector a zakázat propagaci link-state updates:
How to Suppress Link State Updates - http://technet.microsoft.com/en-us/library/aa996728(EXCHG.80).aspx
How to Create Routing Group Connectors from Exchange 2007 to Exchange Server 2003 - http://technet.microsoft.com/en-us/library/aa997292(EXCHG.80).aspx

Pozn.: Po odstranění posledního serveru z routing group, můžete routing group smazat.

Pro další kroky vám poslouží návod "How to Remove the Last Legacy Exchange Server from an Organization" - http://technet.microsoft.com/en-us/library/bb288905. K tomu jednu poznámku. Dejte si pozor při přesunu veřejných složek, zda jsou opravdu všechny instance složek přesunuty, může to totiž trvat (EXCHG.80).aspxi několik hodin (podle množství dat). U jednoho zákazníka se mi stalo, že dvě složky nějak vzdorovaly a nechtěly se přesunout. Tak si můžete pomoci MS Office Outlookem, přetáhnout je do .pst souboru a až bude "po všem", tak je šoupnout na nový Exchange (pro jistotu si poznamenejte i oprávnění k těmto složkám). K tomu ještě jeden článek: How to Remove a Public Folder Database in Exchange Server 2007 RTM - http://msexchangeteam.com/archive/2007/07/09/445967.aspx

Po úspěšné odinstalaci posledního Exchange 2003, můžete provést pár kroků pro "znativnění" některých nastavení.

Doporučil bych upgradovat Email Address Policy a Address Listy, návod jak na to je zde:
Address List and EAP filter upgrades with Exchange Server 2007 - http://msexchangeteam.com/archive/2007/01/11/432158.aspx

Konverze mailboxu reprezentujícího nějaký prostředek (auto, zasedačku, projektor,...) na "Resource Mailbox" (např. pro to, aby jste mohli nastavit kapacitu prostředku):
Set-Mailbox <Mailbox který má být převeden> -Type Room
Set-Mailbox <Mailbox který má být převeden> -Type Equipment

Pokud si chcete vypsat, které mailboxy jsou již Resource Mailboxy:
Get-Mailbox <Mailbox> | select Name,IsResource

BTW. hezký článek o plánování prostředků, AutoAccept, delegaci je zde: http://msexchangeteam.com/archive/2007/05/14/438944.aspx (Resource Scheduling in Exchange Server 2007).

Doporučil bych i nastavit externí postmaster adresu na všech HUB transport serverech:
Get-TransportServer | Set-TransportServer -ExternalPostmasterAddress <ExternalPostmasterSMTPAddress>

Změnit default banner na SMTP receive conncetors:
Set-ReceiveConnector <ConnectorIdentity> -Banner "<220 RemainingBannerText>"
např.:
Set-ReceiveConnector "Z Internetu" -Banner "220 Mail server Firma s.r.o."

Certifikáty
Vydání certifikátů pro Exchange je dalším důležitým krokem, protože budete chtít zabezpečit webový a SMTP přístup k Exchange. Nejtěží je zvolit ta správná jména pro certifikát. Pěkný návod napsal Marin Henč na blogu TechNetu: Vygenerování jednoho SSL certifikátu pro několik jmen - http://blogs.technet.com/technetczsk/archive/2006/10/19/exchange-2007-tip-2-vygenerov-n-jednoho-ssl-certifik-tu-pro-n-kolik-jmen.aspx

nebo také zde: Creating a Certificate or Certificate Request for TLS
http://technet.microsoft.com/en-us/library/aa998840(EXCHG.80).aspx

Jen doplním, že ke cmdletu New-ExchangeCertificate můžete přidat i parametr -PrivateKeyExportable $true pro exportovatelnost privátního klíče (potřebujete-li to).

Jinak nezapomeňte i na certifikát pro SMTP, zvláště pokud upravíte zprávu pro HELO (EHLO) - nastavuje se v příslušném Receive Connectoru, protože většinou totiž nechcete zveřejňovat lokální jméno vašeho serveru. Jakmile změníte ale jméno pro HELO a EHLO, tak se vám pravděpodobně v Event Logu objeví chyba 12014.
Řešením je tedy vygenerovat certifikát pro SMTP se správným subject name: How to Troubleshoot STARTTLS Certificate Error 12014 - http://technet.microsoft.com/en-us/library/bb510128(EXCHG.80).aspx

Tím jsem se dostal do nějakých konfiguračních nastavení a tom zase třeba někdy jindy. Na závěr malá rada na statistiky:

Statistiky
Také vám chybí statistiky mailboxů v grafické konzoli, které byly v System Manager v Exchange 2003? Mně ano, ale na druhou stranu musím uznat, že možnost generovat si vlastní podle různých parametrů rozhodně také není k zahození. Nicméně pokud nevíte jak si vypsat "ty staré", tady setřídit si mailboxy nebo veřejné složky podle počtu položek v nich uložených nebo podle velikosti, zde jsou cmdlety:

Get-Mailbox -Database "Mailbox Database" | Get-MailboxStatistics | select DisplayName,TotalItemSize | sort TotalItemSize | more

Get-Mailbox -Database "Mailbox Database" | Get-MailboxStatistics | select DisplayName,ItemCount | sort ItemCount | more

Get-PublicFolderStatistics -Server <jméno vašeho mail serveru> | select Name,FolderPath,ItemCount | sort ItemCount | more

Get-PublicFolderStatistics -Server <jméno vašeho mail serveru> | select Name,FolderPath,TotalItemSize | sort TotalItemSize | more

Publikování klientského přístupu k Exchange Server 2007 přes ISA Server 2006

Jiří Hýzler — Mon, 28 Jan 2008 19:54:19 GMT

Pokud řešíte jak elegantně publikovat klientský přístup k vašemu Exchange Serveru 2007 přes ISA Server 2006, mohli by se vám hodit následující návody, zvláště pokud chcete zpřístupnit nejen Outlook Web Access (OWA), ale i Outlook Anywhere (dříve RPC over HTTPS), UM, ActiveSync a hlavně vynikající technologii Autodiscover pomocí jediného pravidla buď se dvěma nebo dokonce s jedním ISA listenerem!

Zde je návod pro 2 listenery: http://www.isaserver.org/tutorials/web-listeners-web-publishing-rules.html

A zde návod pro jeden listener pro všechny výše uvedené služby s využitím možnosti přemapovat pomící SRV záznamu v DNS jméno autodiscover.vaše_doména (viz KB 940881: http://support.microsoft.com/?kbid=940881 ): http://www.isaserver.org/tutorials/Publishing-Exchange-2007-Outlook-Autodiscover-2006-ISA-Firewalls.html (chybějící virtuální adresář pro ActiveSync si snadno doplníte, funguje to i pro něj)

Díky Thomasi, díky za návod.

Microsoft Active Directory Topology Diagrammer

Jiří Hýzler — Thu, 08 Nov 2007 14:05:39 GMT

Nedávno se objevil na stránkách Microsoft zajímavý nástroj pro střední a větší organizace a firmy - Microsoft Active Directory Topology Diagrammer. Tento nástroj automaticky vygeneruje Visio diagram vaší topologie Active Directory a Exchange 200x serverů. Diagramy mohou zahrnovat domény, sites, servery, administrativní a směrovací skupiny z Exchange organizace včetně konektorů.

Podmínkou je mít nainstalované Microsoft Visio 2003 nebo 2007, .NET Framework 2.0. a operační systém Windows 2000 a novější. Lze spustit i na stanici.

Nástroj si můžete stáhnout zde: http://www.microsoft.com/downloads/details.aspx?FamilyID=cb42fc06-50c7-47ed-a65c-862661742764&DisplayLang=en.

Zmenšování a rozšiřování oddílů na disku ve Vistě

Jiří Hýzler — Thu, 08 Nov 2007 09:29:31 GMT

Windows Vista a Windows Server 2008 nabízí možnost zmenšit nebo zvětšit oddíly na disku pomocí Disk Management konzole (je součástí Computer Managementu nebo jako samostatný snap-in do mmc). "Oříznout" partition na basic disku nebo simple volume na dynamic disku můžete ale jen o volné místo na konci oddílu. To znamená, že pokud máte fyzicky uloženy na konci oddílu nějaké soubory, zmenšit se vám to o moc velké místo nepodaří. Proto je dobré před zmenšením oddílu provést jeho defragmentaci a mít tak možnost zmenšit partition o větší kus.
V grafické konzoli zmenšení provedete jednoduše přes pravé tlačítko na oddílu a zvolte Shrink volume a nastavte velikost místa, o kterou chcete oddíl zmenšit.

Přes řádkové rozhraní to můžete provést přes nástroj diskpart.exe, např.:

DISKPART> select disk 0
Disk 0 is now the selected disk.

DISKPART> select part 1
Partition 1 is now the selected partition.

DISKPART> shrink querymax
The maximum number of reclaimable bytes is: 16GB

Výše uvedeným příkazem zjistíte maximum místa, o které je možné zmenšit oddíl.

DISKPART> shrink
DiskPart successfully shrunk the volume by: 16GB

Vlastním příkazem shrink provedete zmenšení. Bez parametru provede změnšení o maximální možnou hodnotu. Můžete také použít parametr minimum, kterým specifikujete o jak velké místo (v MB) si přejete zmenšit oddíl, např.:

DISKPART> shrink minimum=20000
The specified shrink size is too large.

Pokud to nepůjde zmenšit o takové místo, diskpart vás upozorní a operaci neprovede. Můžete také stanovit maximální hodnotu, o kterou se může diskpart pokusit zmenšit oddíl a pokud to nepůjde, tak o menší část až po stanovené minimum, které pokud nebude možné docílit, operace se neprovede, např.:

DISKPART> shrink desired=5000 minimum=2000
DiskPart successfully shrunk the volume by: 3000MB

Zde se pokusí zmenšit oddíl o 5GB, pokud to nepůjde, tak alespoň o takovou hodnotu, která je větší než 2GB. Pokud není možné zmenšit oddíl alespoň o 2GB, operace se neprovede.

Podobně budete postupovat, pokud budete potřebovat rozšířit oddíl o volné místo na disku. Rozšiřovat můžete partitions i simple volumes o volné místo před i za oddílem, ale pamatujte, že u partition na basic disku můžete rozšířit oddíl jen o místo bezprostředně za oddílem. Rozšiřování oddílu o místo před oddílem, stejně tak i o místo, které se nenachází bezprostředně za oddílem nebo o volné místo na druhém disku (spanned volume), můžete jen na simple volume na dynamic disku.

Jak poznat, které účty počítačů nemají změněné heslo v AD delší dobu?

Jiří Hýzler — Mon, 22 Oct 2007 13:08:48 GMT

Po přidání počítače W2k a novějšího do domény,je vytvořen účet počítače a je nastaveno heslo pro tento účet, které si automaticky počítač mění každých 30 dní (NT4.0 si měnily heslo u účtu počítače každých 7 dní). Jestliže heslo počítače není změněno během 60 dní od poslední změny hesla (např. počítač je offline), tak počítač není schopen se autentizovat do domény a musíte heslo resetovat (přes pravé tlačítko na účtě v AD).
Můžete jednoduše vyhledat účty počítačů, které si více jak 60 dní nezměnily heslo (jsou označeny jako "stale) použitím řádkového příkazu dsquery:

C:\dsquery computer -stalepwd 60

"CN=PC6,CN=computers,DC=firma,DC=cz"
"CN=WNOVAK,CN=computers,DC=firma,DC=cz"
"CN=NOTEBOOK3,CN=computers,DC=firma,DC=cz"
"CN=WM03,CN=computers,DC=firma,DC=cz"
"CN=TESTPC,CN=computers,DC=firma,DC=cz"

Tento výstup ukazuje, že 5 počítačů si nezměnilo heslo více jak 60 dní a můžete třeba zvážit, zda se nejedná o nějaké "historické" stroje a zda je ještě nutné je ponechávat v doméně.
jh

ISA Server a optimalizace paměti pro SQL server

Jiří Hýzler — Thu, 11 Oct 2007 06:37:26 GMT

Pokud jste někdy instalovali ISA Server 2004 nebo 2006, tak zajisté víte, že automaticky s ním se instaluje MSDE verze SQL serveru pro logování komunikace "protékající" skrze ISA Server. To je báječná věc, protože s databází se dá dál dobře pracovat, ale problém je v tom, že po nějakém čase vám začne SQL "požírat" volnou paměť (taková obecná vlastnost SQL serveru :-)). Sice to nevadí funkcionalitě firewallu jako takového, ale po vyčerpání volné RAM to zbytečně zpomaluje počítač. SQL se dá samozřejmě omezit, kolik má maximálně alokovat paměti pro svůj proces. Bohužel k MSDE verzi SQL nemáte grafické nástroje, kterými by jste to mohli nastavit, tak musíte použít řádkový osql.exe, který je součástí instalace.

Zde je návod jak omezit pamět pro SQL na 256 MB. Velikost záleží na vás - je to závislé na tom jak moc logujete, vyhledáváte v databázi apod. a také kolik máte celkem RAM, ale 256 MB by mělo pro menší firmu opravdu bohatě stačit (čísla a většítka na začátcích řádků neopisujte, slouží pouze ke zpřehlednění, osql totiž řádky automaticky čísluje):

osql -E -S jm_serveru\MSFW
1> exec sp_configure 'SHOW ADVANCED OPTIONS',1
2> go
1> reconfigure
2> go
1> exec sp_configure 'MAX SERVER MEMORY',256
2> go
1> reconfigure
2> go
1> exit

Vysvětlivky: Parametr -E říká, že použijete windows autentizaci, tj. pro konfiguraci musíte být přihlášeni jako člen skupiny Administrators. Parametr jm_serveru nahraďte jménem počítače, na kterém běží ISA Server. První procedura povoluje pokročilejší nastavení a druhá provádí nastavení paměti na 256 (jednotky jsou megabajty).

Samozřejmě návod se dá použít i pro jiné instalace SQL serveru, nejen na ISA Serveru.

Náhrada za Exmerge aneb jak "Exportovat a Importovat mailboxy z/do PST souborů v Exchange Server 2007 SP1"

Jiří Hýzler — Fri, 07 Sep 2007 14:06:14 GMT

Představovat populární nástroj Exmerge asi nemusím, ale pokud již máte Exchnage 2007, tak jste určitě zjistili, že Exmerge nelze na novém Exchnage serveru použít. Service Pack 1 pro Exchange 2007, který už bude brzy k dispozici, přidává možnost exportovat nebo importovat poštovní schránky z/do PST souborů, které mohou být dokonce větší než 2GB, což bylo omezení nástroje Exmerge.

Požadavky pro export/import do PST

Export/import do PST musí být spuštěn z 32-bitového klientského počítače s nainstalovanými Exchange Management Tools (verze ze SP1 a pozdější). Tento požadavek vychází ze závislosti na přítomnosti Outlook klienta.
Outlook 2003 nebo Outlook 2007 musí být nainstalován na klientském počítači
Uživatel provádějící export/import musí být členem skupiny Exchange Organization Admin nebo skupiny Exchange Server Admin na serveru, kde je exportovaný/importovaný mailbox(-y).

Export mailboxů do PST souborů

Základní použití cmdletu Export-Mailbox je:
Export-Mailbox –Identity <mailboxUser> -PSTFolderPath <pathToSavePST>

PSTFolderPath musí být plná cesta k adresáři nebo PST souboru. Jestliže uvedete jen cestu k adresáři, pak automaticky se zde budou vytvářet PST soubry se jménem podle aliasu mailboxů, které exportujete. Pokud v cestě daný PST soubor již existuje, obsah mailboxu bude s ním sloučen (merged).

Například příkaz může vypadat takto pro uživatele hyzlerj:
Export-Mailbox -Identity hyzlerj -PSTFolderPath D:\PSTFiles -Confirm:$false

Po provedení cmdletu najdete soubor hyzlerj.pst ve složce D:\PSTFiles.

K tomu, aby jste vyexportovali několik mailboxů najednou je možné využít pipe (rouru) pro identifikaci těchto mailboxů např.:
Get-Mailbox -Database 'MDB' | Export-Mailbox -PSTFolderPath D:\PSTFiles -Confirm:$false

Import mailboxů z PST souborů

Syntaxe je podobná jako u exportu:
Import-Mailbox -Identity <mailboxUser> -PSTFolderPath <PSTFileLocation>

A i zde PSTFolderPath musí být plná cesta k adresáři nebo ke konkrétnímu PST souboru. Cmdlet se automaticky pokusí najít mailbox uživatele podle aliasu, který získá ze jména PST souboru. V případě, že se mu ho povede nalézt, provede import obsahu souboru do mailboxu, pokud ne, tak příslušný import do mailboxu přeskočí.

Příklad 1:
Import-Mailbox -Identity hyzlerj -PSTFolderPath D:\PSTFiles\hyzlerj.pst a následně můžete potvrdit import pro nalezeného uživatele (lze i odpovědět Yes to All).

Příklad 2 (pro hromadný import):
Get-Mailbox -Database 'MDB' | Import-Mailbox -PSTFolderPath D:\PSTFiles

Filtrování obsahu při exportu a importu

Můžete použít celou řadu filtrů při exportu nebo importu zpráv na základě jejich specifického obsahu a ostatní zprávy nechat v mailboxu nevyexportované, resp. nechat v PST souboru nenaimportované. Můžete požít filtry: Locale, StartDate, EndDate, ContentKeywords, SubjectKeywords, AttachmentFileNames, AllContentKeywords, SenderKeywords a RecipientKeywords.

Například pro import pouze zpráv, které byly vytvořeny v době od 1.1.2007 do 7.9.2007 a obsahující slovo 'info' v předmětu zprávy a kterékoliv ze slov {"projekt","program"} ve vlastním obsahu zprávy:
Import-mailbox -Identity hyzlerj -PSTFolderPath D:\PSTFiles -StartDate 1/1/07 -EndDate 9/7/07 -SubjectKeywords:'info' -ContentKeywords:'projekt','program'

Popis nastavení v Group Policy

Jiří Hýzler — Fri, 07 Sep 2007 12:49:22 GMT

Určitě se vám stalo, že jste hledali nastavení v Group Policy a ne a ne ho najít. Proklikávat se několika úrovněmi nastavení není zrovna moc pohodlné a proto Microsoft už celkem dlouho nabízí Excelové soubory s popisy všech nastavení, která se nacházejí v Administrative Templates v Group Policy Objektu (GPO).

Stáhnout si je můžete zde pro W2k,XP a Server 2003: http://www.microsoft.com/downloads/details.aspx?FamilyID=7821c32f-da15-438d-8e48-45915cd2bc14&DisplayLang=en a zde pro Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-ade1-c0d9289f09ef&DisplayLang=en

Dva nástroje pro řešení problémů s Group Policy

Jiří Hýzler — Tue, 14 Aug 2007 06:20:55 GMT

Rád bych upozornil na dva nástroje, které mohou pomoci administrátorům při řešení problémů s Group Policy: GPOTOOL.EXE a DCGPOFIX.EXE.

GPOTool.exe je nástroj, který je součástí Windows Server 2003 a Windows 2000 Server resource kitů a můžete pomocí něho:

ověřit konzistentnost obou částí GP objektů (GPO) mezi složkou Sysvol (Group Policy Template) a databází Active Directory (Group Policy Container)
ověřit replikaci GPO
vyhledat GPO
nastavit specifický řadič domény (DC) na kterém budete provádět testy
zobrazit podrobné informace o GPO
ověřit cross-domain GPO

Zde je příklad, jak může vypadat výstup pokud spustíte gpotool bez parametrů (více v GPOTool.exe /?):

DCGPOFIX.EXE je nástrojem poze pro servery Windows Server 2003 a může obnovit 2 zabudované GP objekty "Default Domain Policy" a "Default Domain Controlers Policy" do originálního stavu po instalaci kromě některých bezpečnostních nastavení, které není možné vrátit přesně do jejich původního stavu. Jakmile spustíte DCGPOFIX, ztratíte veškeré změny, které jste provedli v těchto objektech. Více informaci získáte přes DCGPOFIX.EXE /?.

Tento nástroj použijte spíše až jako poslední záchranu, lepším řešením je použít GPMC na zálohování a obnovu těchto politik.

Více o těchto a dalších nástrojích se dočtete např. zde:

http://technet2.microsoft.com/windowsserver/en/library/e926577a-5619-4912-b5d9-e73d4bdc94911033.mspx?mfr=true