Latest Entries »

Hello,

La migration d’une boîte Exch2003 vers 2010 en intra organisation, à priori, c’est simple : soit un clic droit Nouvelle demande de déplacement local ou en powershell new-moverequest.

Petit point d’attention, par défaut les alias 2003 se basaient sur les noms affichés (DisplayName). L’attribut DisplayName contenait souvent un espace ( » « ), exemple : Martin Dupont. De fait, les alias aussi.

En Exchange 2010, les  »  » sont un caractère interdit, il est donc nécessaire de modifier ces alias à problème car les boîtes ne sont pas migrables en l’état.

Microsoft fournit un script sur le TechNet : http://technet.microsoft.com/en-us/library/bb851499(EXCHG.80).aspx.
Ce script est assez limité car il fait une recherche sur  » « . Donc les noms qui contiennent deux voire trois espaces ne sont pas traités.

C’est pourquoi je préfère utiliser le script fourni par l’équipe produit sur le script center http://gallery.technet.microsoft.com/scriptcenter/411aec4e-8c01-4594-b993-fbd968f15399.
En plus de traiter les espaces, le script traite tous les caractères interdits et corrige aussi les groupes et les contacts… Royal

En exemple, la dernière fois que je m’en suis servi, sur 1250MBX, une seule n’avait pas été traitée. Plutôt un bon ratio.

A+

Hello,

Il y a beaucoup d’informations autour des boîtes d’arbitrage, blogs (http://makanzore.wordpress.com/2011/01/27/boite-aux-lettres-darbitrage-ou-arbitration-mailbox/) ou TechNet. Je passerai donc rapidement (commandes uniquement) sur les aspects classiques de move-request et de la suppression de la banque pour finalement faire un focus sur cas particulier d’un client récent.

Il est souvent question des boîtes d’arbitrage lorsque l’on veut supprimer la première mailbox database créée automatiquement par Exchange lors de l’installation du premier rôle mailbox 2010 installé dans l’organisation. Pour supprimer cette banque qui ne correspond pas aux conventions de nommage, il faut déplacer ces boîtes d’arbitrage.

Pour récupérer ces boîtes, deux commandes sont réalisables :

– dans le cas d’une infrastructure mono forêt mono domaine : get-mailbox -arbitration

– dans le cas d’une infrastructure mono forêt multi domaine : get-mailbox -arbitration -domaincontroller
Exemple d’une architecture domaine parent (DC1)/domaine enfant (DC2): exchange est installé dans le domaine enfant. Si on tape Get-mailbox -arbitration depuis les powershell Exchange disponibles depuis les serveurs Exchange, il est impossible de trouver les boîtes d’arbitrage. Il sera nécessaire de taper Get-mailbox -arbitration -domaincontroller DC1.domaine.parent.

Pour les déplacer, on pipe le résultat de la commande précédente dans un moverequest:

– mono forêt mono domaine : get-mailbox -arbitration | new-moverequest -targetdatabase DB1

– mono forêt multi domaine : get-mailbox -arbitration -domaincontroller DC1| new-moverequest -target database DB1 -domaincontroller DC1

C’est là que pour nous le drame s’est produit. Bien que nos comptes disposaient de tous les droits possibles et imaginables, que l’héritage était coché sur les comptes, nous avions une erreur de droit lors de la suppression :

Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Nous avons fouillé un peu partout sur le Net et mise à part la case de l’héritage, il n’y a pas grand chose…

Nous avons réussi à déplacer les boîtes en ajoutant directement sur les comptes AD des boîtes d’arbitrage le compte machine du serveur Exchange depuis lequel nous tapions les commandes. C’est en effet le web service de powershell qui n’avait le droit d’attaquer le domaine parent.

A noter deux choses. La première est qu’il faut ajouter directement le compte machine sur le compte AD, en effet, de faire appartenir la machine à un groupe et donnée le droit au groupe n’est pas suffisant. La seconde, il faut lancer le powershell depuis une machine (disons exch02) et vérifier que le powershell Exchange est bien connectée à Exch02. Si on ouvre une session sur Exch01 et connecte le powershell sur Exch02, même si les droits ont été mis à exch02, la commande échouera lamentablement.

On peut noter aussi que dans une infrastructure mono forêt multi domaines, le compte la boîte de découverte automatique est aussi hébergé dans le domaine parent. Il faut donc à lui aussi lui assigner le droit contrôle total au serveur Exchange qui fera le move-mailbox.

Une fois les boîtes déplacées, on supprime les move-request

get-moverequest -sourcedatabase « db par défaut » | remove-moverequest

On peut maintenant supprimer la banque : remove-mailboxdatabase -identity « db par défaut » et ne pas oublier de supprimer manuellement les fichiers.

A+

Hello,

DirectAccess, c’est quoi ? Comment ça fonctionne ? Quels sont les prérequis ? A quoi dois-je penser ?

Beaucoup se posent, entre autres, ces questions à propos de DirectAccess. Pour aider mes collègues, j’ai réalisé une présentation en interne et décide de la partager avec vous 🙂

Pour rédiger la présentation, je me suis appuyé sur

  • Les projets réalisés,
  • Les différentes présentations disponible sur Internet (notamment le blog de Stanislas Quastana)

J’ai, par contre, épurée la présentation de toutes identifications d’entreprise clientes, prestataires, données sensibles,… Si vous avez des questions, n’hésitez pas

Présentation en 3 parties : présentation de DirectAccess et UAG, les prérequis d'infrastructure et l'architecture

Les utilisateurs se connectent à un réseau via un VPN. Par contre, DirectAccess étend le réseau aux clients

Dès qu'un évenement réseau est détecté, le client Win7 DirectAccess essaie de se connecter à un site web https de l'intranet. Si la connexion échoue, une DirectAccess est automatiquement lancée

Les clients et serveurs DirectAccess ne font que de l'IPv6. ISATAP est utilisé dans les réseaux privés et construit les @ IPv6 et utilisant les @ IPv4 en suffixes

6to4 et Teredo, les deux technologies de transition principalement utilisées par DirectAccess.

La méthode IP-HTTPS est la méthode la plus lente mais passe-partout. Elle est utilisée en dernier recours

 

Toutes les possibilités de traffic entre les clients et serveurs DA et entre les serveurs DA et le réseau local

IPsec est natif à IPv6. Selon le modèle de connexion DA choisi, le traffic est plus ou moins chiffré. Dans le cas du modèle end-to-edge, recommandé, le traffic est chiffré entre le client et le serveur DA. Le traffic sur le réseau de l'entreprise est en clair

Avec le end-to-end, la communication est chiffrée en bout en bout. Toutefois, le modèle n'est pas recommandé (contraignant, pas de possibilités de vérifier la comm entre clients DA et serveurs d'applications,...)

UAG est le remplaçant d'IAG

UAG permet notamment un AD en 2003, l'absence complète d'IPv6, la haute-disponibilité et intègre une brique TMG. Par contre, il nécessite une CAL

UAG, ce n'est pas que DirectAccess. C'est une solution de bordure de réseau complète

Le SP1 apporte des nouvelles fonctionnalités (OTP, modèle d'accès scindé,...) ainsi que des améliorations (configuration du force tunneling par GUI et non plus par GPO, autodiscover des serveurs SCCM,...)

Les prérequis d'infrastructure pour DirectAccess

Pour deux noeuds : prévoir 4 @ IPv4 publiques (dont deux consécutives pour DirectAccess et une par noeud physique)

Il est supporté d'avoir un FW devant et derrière le serveur DirectAccess mais un certain nombre de ports sont à ouvrir

Grâce à UAG, AD 2003 est suffisant

La configuration des clients et serveurs DirectAccess se fait par des GPOs générées par la console DirectAccess uniquement. Les GPOs configurent les politiques IPsec et les technologies de transition. Slide repris sur http://blogs.technet.com/b/stanislas/archive/2011/01/12/teched-2010-vid-233-o-de-la-session-directaccess-with-uag-under-the-hood.aspx

En interne, faire attention à débloquer ISATAP et en externe, bien pointer sur la première des deux adresses IPv4 publiques

Des certificats partout : une CA, un certificat pour chaque machine issue de cette CA, deux certificats https pour le serveur NLS et pour les connexions DirectAccess. Pour rappel, le serveur DirectAccess ne doit pas jouer le rôle NLS !

Si utilisation de certificats privés, bien penser à une publication de CRL. Les accès https, et éventuellement CRL, doivent être anonyme

Win7 Enterprise minimum, IPv4 et IPv6 activés, appartiennent à un groupe AD

Définition des éléments structurants

Il est nécessaire de bien définir dans une matrice les ressources accessibles via DirectAccess pour définir les routes et ports réseaux autorisés

Si le serveur n'est pas IPv6, DNS64 et NAT64 construisent une adresse IPv6 factice pour le client DirectAccess. Si le serveur est IPv6, valider que l'application à utiliser supporte bien IPv6

L'installation est Powershell est possible, quelques braves ont essayé...

Si vous souhaitez que tout le trafic des clients passe par le réseau de l'entreprise, il est nécessaire de configurer le mode Force Tunneling. Mais dans ce cas là, seule la technologie de connexion IP-HTTPS fonctionnera.

Le tunnel d'infrastructure permet à la machine de se connecter au réseau et de se mettre à jour, il ne donne pas accès aux données. Depuis le SP1, on peut configurer uniquement ce mode. Le tunnel Intranet donne à l'utilisateur l'accès aux ressources de l'entreprise, il pourra être sécurisé par une connexion de carte à puce

Management pack et lignes de commandes seront vos alliés

Les références

 

Je n’ai pas indiqué mais vous avez bien sur la référence française qui est le blog de Monsieur Stanislas : http://blogs.technet.com/b/stanislas/

A+

Hello,

Pour ceux qui souhaitent installer Exchange 2010 SP1 from scratch sur un système d’exploitation Windows Server 2008 R2, un certain nombre de prérequis doivent être respectés.

Le programme d’installation valide pour vous une partie de ces prérequis, concernant les modules nécessaires de Windows Server. Si toutefois vous souhaitez préparer les machines avant installation les prérequis Windows sont disponibles sur le lien suivant :

http://technet.microsoft.com/en-us/library/bb691354.aspx#WS08R2

Mais ce n’est pas suffisant, évidemment, ce serait trop simple 😉

Les fixs nécessaires sont les suivants :

Filter pack 2010 : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5cd4dcd7-d3e6-4970-875e-aba93459fbee&displaylang=en

KB979099 : http://www.microsoft.com/downloads/en/details.aspx?FamilyId=87f72529-d316-42e8-bf77-a46951f66dda&displaylang=en

KB977020 : https://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=27977&wa=wsignin1.0

KB979744 : http://support.microsoft.com/kb/979744

KB982867 : http://code.msdn.microsoft.com/KB982867/Release/ProjectReleases.aspx?ReleaseId=4520

KB983440 :  https://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=29092&wa=wsignin1.0

Encore une fois, la bible de l’équipe technique pourra répondre aux restes de vos questions sur le déploiement d’Exchange 2010 SP1

http://msexchangeteam.com/archive/2010/09/01/456094.aspx

A+

Hello,

Comme l’a indiquée l’équipe produit, le poster d’architecture Exchange 2010 est disponible sur http://www.microsoft.com/downloads/en/details.aspx?FamilyID=cea0cf7e-d824-49bb-8924-39d66a5fb88e.

Bonne impression 😉

Hello,

La défragementation offline permet de regagner de l’espace disque perdu au cours du temps par un mailbox database.

Pour estimer réellement l’espace perdu, on passe par notre ami eseutil :

  • On arrete la base en question
  • eseutil /ms chemin_de_la_base.edb

Ensuite on récupère dans la ligne de mailbox database le nombre de page en état « Available ».

Ce nombre représente le nombre de pages vides. Donc selon la version

  • En exchange 2003, on le multiplie par 4Ko pour connaître l’espace gagné en faisant une defragmentation offline
  • En exchange 2007 et 2010, on le multiplie par 8Ko pour connaître l’espace gagné en faisant une defragmentation offline

Voir la bible http://msexchangeteam.com/archive/2006/09/08/428860.aspx

A+

Hello,

Après pas mal de boulots et trop peu de vacances, voilà un petit billet AD

Une petite mésaventure chez un de mes clients. Dans un contexte de migration AD, la zone DNS n’était pas intégrée dans le domaine, le processus de migration a donc inclut la récupération des zones DNS pour les mettre dans AD. A priori, rien de compliqué : on récupére les zones en secondaire, on les passe en primaire, mises à jour dynamiques et hop dans AD. Oui mais voilà…

Suite à une erreur, on va dire inconnue, il était possible d’ajouter des zones dans AD mais le contexte de réplication était limité aux contrôleurs windows 2000 et il n’était pas possible de créer des redirecteurs conditionnels dans AD. Coup de chaud…

Nous avons donc fait une sauvegarde de la zone DNS (en sortant de l’AD finalement), une sauvegarde d’un contrôleur de domaine et on a mis les mains dedans :

On installe le support tools si ce n’est pas déjà fait

  1. démarrer / exécuter / cmd / ntdsutil / domain management / connections / co to se localhost, pour pouvoir utiliser ntdsutil
  2. list, pour lister et récupérer les DNs des partitions
  3. On prend son courage à demain : delete NC DC=ForestDnsZones,DC=toto,dc=loc et  delete NC DC=DomainDnsZones,DC=toto,dc=loc
  4. On attend la réplication et on vérifie avec adsiedit.msc que la partition est bien supprimée sur chaque serveur dans le container Configuration / CN=Partitions
  5. Quand tout est supprimé, dnscmd /createbuiltindirectorypartitions /forest et dnscmd /createbuiltindirectorypartitions /domain
  6. On vérifie dans adsiedit

Ca y est, on a récupéré nos deux zones toutes neuves

Hello,
Plusieurs blogs http://msreport.free.fr/?tag=netdom-trust ou http://blogcastrepository.com/blogs/benoits/default.aspx avaient remonté que l’usage d’une version française de 2008 posait problème avec la commande netdom trust. En effet, la commande doit être tapée en anglais et le paramètre /quarantine doit être égale à NON…
Et bien le problème est le même en R2 vivement un 2008 SP2 ou 2008 R2 SP1 😮

Hello,
Ca y est les betas des services packs des meilleurs OS du moment sont sortis !
Voir http://technet.microsoft.com/en-us/evalcenter/ff183870.aspx

Hello,
Pour démarrer le blog, je vais essayer de présenter chaque mois un outil plus ou moins connus mais qui reste, dans la plupart des cas, utile.

Pour la première présentation, je vous propose Xobni (inbox en verlan comme disent les jeunes des années 80).
Disponible sur http://www.xobni.com/ , Xobni peut être utilisé sur les plateformes XP,Vista et 7 ainsi que sur vos Blackberrys (obligatoirement payant de ce dernier cas). Le rôle de Xobni est de vous permettre d’identifier l’ensemble des éléments de messagerie (mail, pj, contacts communs) échangés avec un interlocuteur.
Indexant boîtes aux lettres et pst, Xobni vous permet d’établir des rapports précis sur l’utilisation de votre messagerie.
Bons tests