narga: (Default)
Да. Теперь могу сказать, что я видела всё.
Это отлуп owa на попытку приконнектится к отключенной облегчённой версии с IE11. Сервер Пентагона таки согласился с тем, что его пароль Мао Цзэдун, а FF круче IE.
Этот же отлуп, кстати, при попытке подключиться к полной версии с мобильного браузера, что андроид, что виндофон.



Ну и да, это я извращаюсь. Чтобы не забыть:

Set-OwaVirtualDirectory -Identity "servername\owa (Default Web Site)" -OWALightEnable $false

ЗЫ - поймала себя на том, что в последнее читаю статьи на немецком технете. Вот что значит обученный гугл!
narga: (Default)
Забавно. При попытке удалить отмонтированную датабазу Exchange привычно ругался:
This mailbox database contains one or more mailboxes, mailbox plans, archive mailboxes, or arbitration mailboxes.

При этом Get-Mailbox -Database basename - пусто.
С -arbitration и -archive тоже ничего.

Помогло только в гуе отсортировать по архивной датабазе и вывести список ящиков.
narga: (Default)
Кто там хотел старых и новых баек с моей бывшей работы.
На прошлой неделе - я заканчиваю дела, работы дохера, потому как коллега мой уже уволился неделей раньше. Как говорится, уже пар из ушей валит.
Истерика от руководства - ааааа!!! Там! Кому-то из випов не дошло пиздец важное письмо! Всех нахуй в лоскуты!
Прошу дать мне письмо, слушаю арию из Простоквашино: У меня есть посылка для вашего мальчика, но я её вам не отдам, потому что у вас документов нет. То бишь письмо есть, но мы вам его не дадим, потому что оно наибаццо конфиденциальное. Ни письма, ни свойств письма, нихуя. Только писулька от разъебая из отправляющей организации, который настолько тупой, что не способен даже свойства письма отправить - только отлуп от моего exchange.
У меня на хуйню времени нет, о чем и говорю. Истерика продолжается. Я говорю что раз нет информации, максимум что я могу сделать - рубануть нахуй контент фильтр, если будет на то желание руководства. Последствия сами понимаете какие.
Отключай, говорят.
Ну, мне несложно, отрубила на всех edge.
Угадайте, что было дальше.
В общем, вчера у них таки мозг включился и они его врубили обратно. Но с таким руководством пиздоватым далеко точно не уедут. Реквестирую в следующий раз отключение прокси - какой-нить очередной важный хуй не сможет зайти на любимый порносайт.
narga: (Default)
Подняла вчера очередной exchange edge, синхронизация прошла и тут бряк - знакомая ошибка. В очереди скапливаются письма, отлуп:
451.4.4.0 Primary target IP address responded with: "451.5.7.3 cannot achieve exchange server authentication.

Ну, собственно, оно нам прямым текстом говорит "потуши файрвол, сука". А если точнее - требуется отключить SMTP Inspection на cisco.
narga: (Default)
Пользователь! Помни, твоя красивенькая подпись с красивой картинкой и разными разноцветными шрифтами это не только пять строчек текста, но и пиздец простыня HTML-кода.
Сделала давеча автоматическую подпись. Пока догрызла, думала тут-то и помру. Цифры и те разного цвета. Зачем - так и не поняла. При всей любви к кодингу, HTML меня угнетает.
Короче, пишите просто "С уважением, Вася".
narga: (Default)
Пришел начальник.
Вежливо спросил, можно ли спалить мой Exchange.
Получил утвердительный ответ - жги!
Спалил.

Ну или короче, как в Дне радио - пришел, сжег и ушел.

Хорошо хоть карта почтовика у меня за спиной устарела ещё два года назад и ничему не соответствует, только дырку в стене закрывает.

0.


А вот что подумали люди, проходящие по коридору с той стороны, я боюсь даже представить.
И что это вообще такое было - тайна, покрытая мраком.
narga: (Default)
Пользователь пожаловался, что будучи владельцем группы, не может редактировать членство группы через outlook.
Отлуп получает следующий:
Не удается сохранить изменения состава общей группы. Недостаточно прав доступа для выполнения операции над объектом.

Exchange shell:
Get-ManagementRoleAssignment
Обнаруживаем отсутствие роли mydistributiongroupmembership

Добавляем:
New-ManagementRoleAssignment -Role mydistributiongroupmembership -Policy "Default Role Assignment Policy"

Профит.
narga: (Default)

Потребовалось сейчас сделать группу, заодно добавлю в записную книжку, вдруг кому пригодится:

Создать динамическую группу рассылки с фильтром (фильтр пишу конкретно мой, понятно что в разных случаях править):

New-DynamicDistributionGroup -Name "groupname" -OrganizationalUnit "domain.lan/ou" -RecipientFilter ((((((((((((((((((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailContact'))) -or (RecipientType -eq 'MailUser'))) -and (-not(Name -like 'SystemMailbox{*')))) -and (-not(Name -like 'CAS_{*')))) -and (-not(RecipientTypeDetailsValue -eq 'MailboxPlan')))) -and (-not(RecipientTypeDetailsValue -eq 'DiscoveryMailbox')))) -and (-not(RecipientTypeDetailsValue -eq 'ArbitrationMailbox')))) -and (-not(CustomAttribute1 -eq 'NoDynGroups')))) -and (-not(Name -like 'SystemMailbox{*')) -and (-not(Name -like 'CAS_{*')) -and (-not(RecipientTypeDetailsValue -eq 'MailboxPlan')) -and (-not(RecipientTypeDetailsValue -eq 'DiscoveryMailbox')) -and (-not(RecipientTypeDetailsValue -eq 'ArbitrationMailbox')))

Назначить модераторов:

Set-DynamicDistributionGroup "intmail-msk"  -ModeratedBy user1, user2, user3

В случае, если надо добавить user4, просто set-dynamic сбросить всех, кроме user4

Установить отправку без модерации для конкретных пользователей:

Set-DynamicDistributionGroup -Identity "groupname"  -BypassModerationFromSendersOrMembers user5, user6, user7

Ну и вообще посмотреть инфу по группе:

 get-DynamicDistributionGroup "groupname"  | Format-List *


ЗЫ - я знаю, спасибо капитан очевидность, но тут выясняется, что гуй развратил до того, что народ может администрировать exchange, не зная powershell. А эту конкретную операцию можно выполнить только из шелла.

narga: (Default)
При запуске удалённого new-mowerequest можно получитьследующую ошибку:

The critical property 'LegacyExchangeDN' is missing in the MailUser object 'user'.
    + CategoryInfo          : InvalidArgument: (user:MailboxOrMailUserIdParameter) [New-MoveRequest], RecipientTaskException
    + FullyQualifiedErrorId : C1079EE9,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest

Выглядит так:



Как несложно догадаться, у пользователя отсутствует атрибут LegacyExchangeDN.

Решение: сделать update-recipient

get-mailuser user | update-recipient

narga: (Default)
В сети полно мануалов по кросс-форест миграции, а это для моей записной книжки.
Уровень леса и там и там 2008r2, exchange 2010.

1. В target лесу делаем Prepare-move-request
Синтаксис:

$local =Get-Credential - таргет
$remote =Get-Credential - исходный
C:\Program Files\Microsoft\Exchange Server\V14\Scripts>.\Prepare-MoveRequest.ps1 -Identity user@domain.com -RemoteForestDomainController dc.sourcedomain.com -RemoteForestCredential $remote -LocalForestDomainController dc.targetdomain.com -LocalForestCredential $local -UseLocalObject -Overwrite -verbose

2. Запускаем ADMT
Миграция пользователя.
User account migration wizard – source domain, target domain
User selection option – select users from domain
User selection – добавляем выбранного пользователя
Organization unit selection – выбираем нужное ou
Password options – Migrate passwords – Password migration source DC DC with PES
Account Translation Options – Target Account State – Target same as source, Sourse account disabling оставляем пустым. Обязательно ставим галку Migrate user SIDs to target domain.
На запрос аудита отвечаем YES (если не включили политику)
User account - Вводим логин-пароль администратора исходного домена
User options – Translate roaming profiles – Update user rights – Fix users group memberships
Exclude specific object properties from migration. Выбрать и исключить (тип user):

HomeMDB
HomeMTA
mDBUseDefaults
msExchHomeServerName
msExchMailboxSecurityDescriptor
msExchMDBRulesQuota
msExchPoliciesIncluded
msExchRecipientDisplayType
msExchRecipientTypeDetails
msExchUserAccountControl
msExchVersion
showInAddressBook

Conflict Management – Migrate and merge conflicting objects – отметить move merged object to the specified target Organization unit
Finish

3. Перемещаем локальный профиль.
Security Translation Wizard
Previosly migrated objects
Sourse domain, target domain
Select computers from domain
Add – выбрать компьютер
Translate objects – user profiles
Security Translation Options – add
Finish
В появившемся окне нажать run pre-check and agent operation

4. Move-request. Выполняется в целевом домене. Синтаксис следующий:
New-MoveRequest -Identity user@domain.lan -Remote -TargetDatabase databasename -RemoteHostName cas.sourcedomain.lan -RemoteCredential

$remote -TargetDeliveryDomain stg.ru -DomainController dc.target.lan


Дополнения

Проверить, что SID-хистори перенеслась после миграции пользователя, можно либо просмотрев лог ADMT, либо посмотрев атрибут sIDHistory у

пользователя в перенесённом домене. Атрибут не должен быть пустым.

При выполнении prepare-moverequest можно получить следующее:
ould not find the default Administrative Group 'Exchange Administrative Group (FYDIBOHF23SPDLT)'.
+ CategoryInfo : NotSpecified: (0:Int32) [Update-Recipient], DefaultAdminist...tFoundException
+ FullyQualifiedErrorId : 27C11212,Microsoft.Exchange.Management.RecipientTasks.UpdateRecipient

В этом случае у нас не пройдет Invoke Update-Recipient, следовательно, атрибут legacyExchangeDN не будет установлен. При попытке сделать move-request получим отлуп:  critical property 'LegacyExchangeDN' is missing in the UserMailbox object

В этом случае либо делать самому Update-Recipient, либо прописывать LegacyExchangeDN вручную.

Если при попытке сделать move-request получаем:
The target recipient user' must be a mail-enabled user when the primary mailbox is moving cross forest.
+ CategoryInfo : InvalidArgument: (user@domain.com:MailboxOrMailUserIdParameter) [New-MoveRequest], RecipientTaskException
+ FullyQualifiedErrorId : CBF0E63A,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest

Значит в ADMT не были исключены определённые атрибуты. Смотрим пользователю в атрибуты, атрибут msExchHomeServerName. Если там ссылка на MBX-сервер из старого домена, значит так и есть. Удаляем атрибут, запускаем заново. После того, как пройдет move-request, в msExchHomeServerName появится имя нового сервера.

Если вы по какой-то причине сначала сделали переезд ADMT до prepare-move request, при попытке выполнить prepare получите следующую ошибку:
Cannot create mail enabled user because an existing object with type already has the same proxy addresses/MasterAccountSid

В этом случае вам придётся прибить всё из атрибута proxyAddresses и сделать учетку mail-enabled:
Enable-MailUser -DomainController dc.domain.lan -Identity user
ExternalEmailAddress – user@target.local, дополнительно proxyaddress user@domain.com
В исходном домене учетке сделать дополнительный proxyaddress user@target.local

После этого осуществить prepare-moverequest, где в качестве user необходимо написать user@target.local
Дальше move-request – как обычно.

Собственно, всё.
narga: (Default)
При попытке удалить отключенную и якобы пустую датабазу можно получить следующий отлуп:

This mailbox database contains one or more mailboxes, mailbox plans, archive mailboxes, or arbitration mailboxes.

При этом на Get-Mailbox -Database databasename мы ничего не получим.

Логично предположить, что сначала:

Get-Mailbox -Database databasename -Arbitration

На это получаем:

SystemMailbox{1f05a927... SystemMailbox{1f0... databasename unlimited
FederatedEmail.4c1f4d8... FederatedEmail.4c... databasename 1 MB (1,048,576 bytes)
SystemMailbox{e0dc1c29... SystemMailbox{e0d... databasename unlimited

Дальше всё ещё логичнее:

Get-Mailbox -Arbitration -Database databasename | New-MoveRequest -TargetDatabase databasename2
narga: (Default)
Первое, на что надо обратить внимание при планировании архитектуры exchange (а принцип некст-некст и в продакшн я не рассматриваю) - это отказоустойчивость.
Ни красивость, ни удобство управления, а доступность 24\7, потому что почта это критичный сервис практически в любом компании. И да, блин, никого не волнует, что вам удобнее настраивать вот так, а эдак - настройка займет дольше времени.
Поэтому решение "а давайте презентуем виртуалке с mbx физический диск на 4тб" на мой взгляд абсолютно, недопустимо, критично идиотское. Да, я всё понимаю, так удобнее рулить, один диск это не два и не три. Не надо париться с другими почтовыми хостами. Но, блин, наша работа заключается в в удобстве и доступности сервисов со стороны пользователей. Наше удобство это вопрос вторичный. VHD не поддерживает больше 2тб? Удивительно, но 2 VHD прекрасно образуют 4 тб, не говоря уже про 3. И внезапно у нас нет проблем ни с бэкапами, ни с отвалившимся физическим диском, ни с бесконтрольно растущими базами. Да, внезапно при больших объемах неплохо бы иметь базы под отключенные мэйлбоксы.
А это я всё к тому, что при переводе всё на нормальный принцип работы mbx я наткнулась на давно любимые грабли, а именно:

The log copier was unable to continue processing for database 'BASENAME\SERVERNAME' because an error occured on the target server: Continuous replication - block mode has been terminated. Error: the log file sector size does not match the current volume's sector size (-546) [HResult: 0x80131500]. The copier will automatically retry after a short delay.

Привет VHDX, ага.
Но блин, при нормальном, адекватном подходе не должно такого быть. Если у тебя что-то не жрёт больше 2тб, зачем ему это впихивать? Если ты уже виртуализируешь всё что можно, о каких физических дисках может идти речь?
А выстроить структуру "как надо" всегда проще, делая правильно сразу. Нежели потом осторожно выковыривая костыли.
narga: (Default)
Представьте себе, что у вас есть почтовый сервер postmeplz.ru.
Ваши пользователи пытаются отправить почту и получают такие отлупы:

Пользователь domain.ru отклонил ваше сообщение, отправленное на следующие адреса электронной почты:
user@domain.ru
domain.ru выдал это сообщение об ошибке:
"Domain name without dots. You don't have PTR record? Or maybe your DNS records is wrong?"

Ну или:

Пользователь domain1.ru отклонил ваше сообщение, отправленное на следующие адреса электронной почты:
user1@domain1.ru
domain1.ru выдал это сообщение об ошибке:
user2@domain2.ru sender domain does not match SPF records

Опасносте!

nslookup edge.postmeplz.ru
address 8.8.8.8

nslookup 8.8.8.8
address edge.postmeplz.8.8.8.8.in-addr.arpa

Ахаха, билайн, что ты делаешь, прекрати!
narga: (Default)
- Здравствуйте. С такого-то числа я нахожусь в отпуске. С уважением, Иван Иваныч.
- Здравствуйте. С такого-то числа я нахожусь в отпуске. С уважением, Пётр Петрович.
- Здравствуйте. С такого-то числа я нахожусь в отпуске. С уважением, Иван Иваныч.
- Здравствуйте. С такого-то числа я нахожусь в отпуске. С уважением, Пётр Петрович.

И так почти сутки.
Встретились два робота, ага.

В аду есть специальное место для людей, которые используют автоответ.

Круче всего была тётенька, которая потратила по-моему полдня на то, чтобы выбрать из адресной книги туеву хучу народа (потому что группа рассылки премодерируемая) и отправила письмо с запросом отлупа о прочтении.

А ещё один дяденька вставил себе в подпись картинок, висящих в интернетах, ссылка в пять строк длиной и ещё сайт с каким-то похабным названием типа "fuckmanass.com". Ну и понятно жаловался, какого хрена некоторые люди видят у него вместо красивой картинки какой-то ахтунг.

Короче это всё из серии "почему растут логи" и напоминание себе - никогда не исключать пользовательских проблем.
narga: (Default)
Твою девизию. Пишу себе заметку, чтобы больше не тупить с диагностикой.

CAS exhcange есть в разных сайтах, на одном образовалась длинная очередь.
Отлуп:

451 4.4.0 Primary target IP address responded with: "451 5.7.3 Cannot achieve Exchange Server authentication." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

Копала-копала все логи в поисках хоть чего-то похожего на правду. Как обычно в первую очередь мысль "где ж я умудрилась накосячить".
Потом вспомнила про smtp inspect. Обратилась к цискарям за исключением. Таки да, этот сайт не включен. Исключили - очередь рассосалась.

Когда я уже научусь в первую очередь не свои ошибки искать, а прикидывать вообще все варианты?
narga: (Default)

Коллеги, помните фишку 2003-го exchange, когда после выполнения запроса на перемещения из базы в базу ящик оставался в исходной базе?
Ворнинги получали вида "Выполнено с предупреждением" и записи в журнале запроса вида:
Не удалось очистить исходный почтовый ящик 'Основной (xxx-xxx-xxx-xxx-xxx)' после перемещения. Попытка 5/6.
Сведения об ошибке: MapiExceptionUnexpectedMailboxState MapiExceptionUnexpectedMailboxState: Unable to delete mailbox. (hr=0x80004005, ec=2634)

Ну либо более корректно:

Completed with warning
Failed to clean up the source mailbox 'Primary (xxx-xxx-xxx-xxx-xxx)' after the move. Attempt 4/6.
Error details: MapiExceptionUnexpectedMailboxState MapiExceptionUnexpectedMailboxState: Unable to delete mailbox. (hr=0x80004005, ec=2634)

Описание похожего у MS.
И вот ещё на технете.

В 2010, как несложно догадаться, всё осталось как есть.

Как это лечить вроде понятно: Get-MailboxStatistics -Database databasename | where {$_.DisconnectReason -eq “SoftDeleted”} - вывести всех в исходной базе с softdeleted и прибить:
$Mailboxes = Get-MailboxStatistics -Database msk-db4 | where {$_.DisconnectReason -eq “SoftDeleted”}
$Mailboxes | foreach {Remove-StoreMailbox -Database $_.database -Identity $_.mailboxguid -MailboxState SoftDeleted}

Но блин!
Я вчера на exchange 2013 (тестовом) проверяла как перемещение идёт. Чуваки, оно и там осталось!

narga: (Default)
Вот что нормальные люди делают в пятницу вечером?
Пьют-гуляют-трахаются, да? Ну или спят там. Телек смотрят.
А я как начала с вечера разбираться с базами exchange, так и продолжаю.
Перетащить пользователей из базы в базу, переключить базы, создать новую, подключить новый диск, выяснить какого хрена оно рассинхронизировалось с другой копией...

Самое обидное, что я впервые за очень долгое время хотела в пятницу посмотреть киношку и выпить пива. Правда, пива имбирного и без алкоголя, но ведь хотела же!
Но пива нет, кина нет, зато есть очередной тетрис в стиле "как разместить четыре терабайта по четырём и чтобы ещё осталось место".
narga: (Default)
Как известно, в exchange 2010 привесить пользователю дополнительный почтовый ящик можно как минимум двумя способами. Вариант первый локальный - файл данных, параметры, дополнительно, добавить.
Вариант второй - в остастке exchange дать полный доступ на ящик.
В том и в другом случае у пользователя в outlook появится новый почтовый ящик.

Проблема отловилась такая - при удалении полного доступа ящик из outlook удаляться отказался. Запрос возникает следующий:
"Чтобы удалить учетную запись, перейдите на вкладку Файл, на вкладке сведения нажмите кнопку "Настройка учетных записей", выберите учетную запись электронной почты и нажмите кнопку "Удалить".
Ещё бывает такой:
Невозможно показать папку. Приложению microsoft outlook не удается получить доступ к указанной папке.

Решение:

1. AD, users and computers => учетная запись почтового ящика, который никак не может отключиться.
2. Свойства, вкладка "редактор атрибутов".
3. Найти атрибут msExchDelegateListLink
4. Удалить из него значение учетной записи, где отключен полный доступ.
5. Перезапустить outlook.

Обещали исправить это в rollup3. Не исправили.
narga: (Default)
При создании почтового ящика в Exchange мы или выбираем нужную почтовую базу -database <yourdatabase>, либо пропускаем этот аргумент и оставляем выбор на долю самого exchange.
В последнем случае срабатывает автоматическое распределение, в которое входят все почтовые базы. Говоря простым языком - если у вас есть три почтовые базы exchange с дефолтными настройками, новый почтовый ящик будет создаваться рандомно в любой из них.

Чтобы исключить базу данных из автоматического распределения, необходимо задать параметр -IsExcludedFromProvisioning. По дефолту это значение всегда будет false.

Итого:

Set-MailboxDatabase <yourdatabase> -IsExcludedFromProvisioning $True

#А для тех, кто делает безлимитные базы без исключения из рандома, у меня есть неплохая паяльная станция.

BSOD

Nov. 6th, 2013 12:20 pm
narga: (Default)
- Вика, а у нас на exchange используется smtp?

Я зависла.

Profile

narga: (Default)
narga

December 2016

S M T W T F S
     1 2 3
4 5 6 7 8 910
11 12 1314 15 16 17
18 19 20 21 22 23 24
25262728293031

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 25th, 2017 08:09 am
Powered by Dreamwidth Studios