Exchange 2007 : Inbound authentication failed with error IllegalMessage for Receive connector.

Un petit cas Exchange 2007 à ce jour entre deux serveurs Exchange 2007

Inbound authentication failed with error IllegalMessage for Receive connector Default MYEXSERVER.The authentication mechanism is ExchangeAuth. The source IP address of the client who tried to authenticate to Microsoft Exchange is [172.16.18.126].

 

En regardant les SPN nous pouvons voir que tout est correct

Registered ServicePrincipalNames for CN=MYEXSERVER,OU=Domain Controllers,DC=UNIFIEDIT,DC=local:

    POP3/MYEXSERVER

    POP3/MYEXSERVER.unifiedit.local

    exchangeMDB/MYEXSERVER.unifiedit.local

    exchangeMDB/MYEXSERVER

    exchangeRFR/MYEXSERVER.unifiedit.local

    exchangeRFR/MYEXSERVER

    SMTP/MYEXSERVER

    SMTP/MYEXSERVER.unifiedit.local

    SmtpSvc/MYEXSERVER

    SmtpSvc/MYEXSERVER.unifiedit.local

    exchangeAB/MYEXSERVER

    exchangeAB/MYEXSERVER.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/ForestDnsZones.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/DomainDnsZones.unifiedit.local

    DNS/MYEXSERVER.unifiedit.local

    NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/MYEXSERVER.unifiedit.local

    GC/MYEXSERVER.unifiedit.local/unifiedit.local

    HOST/MYEXSERVER.unifiedit.local/unifiedit.local

    HOST/MYEXSERVER.unifiedit.local/UNIFIEDIT

    ldap/1d6d7ff2-b3a3-45c1-b737-41788d0d59b6._msdcs.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/UNIFIEDIT

    ldap/MYEXSERVER

    ldap/MYEXSERVER.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/unifiedit.local

    E3514235-4B06-11D1-AB04-00C04FC2DCD2/1d6d7ff2-b3a3-45c1-b737-41788d0d59b6/unifiedit.local

    WSMAN/MYEXSERVER.unifiedit.local

    WSMAN/MYEXSERVER

    HOST/MYEXSERVER

HOST/MYEXSERVER.unifiedit.local

 

En modifiant les clefs de registre suivantes

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   
2. Dans le menu Edition, pointez sur Nouveau et cliquez sur Valeur DWORD.
   
3. Dans le volet de détails, entrer la nouvelle valeur LogLevel et appuyez sur entrée.
   
4. Cliquez avec le bouton droit sur LogLevel, puis cliquez sur Modifier.
   
5. Dans la boîte de dialogue Modifier la valeur DWORD, sous base, cliquez sur décimale.
   
6. Dans la zone données de la valeur, tapez la valeur 1, puis cliquez sur OK.
   
7. Fermez l’Éditeur du Registre.
   

Puis en redemarrant le service KDC nous avons obtenu l’erreur suivante

Event Type:       Warning

Event Source:   KDC

Event Category:               None

Event ID:             20

Date:                    4/3/2012

Time:                    9:56:00 AM

User:                    N/A

Computer:         MYEXSERVER

Description:

The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found.  Smartcard logon may not function correctly if this problem is not remedied.  Have the system administrator check on the state of the domain’s public key infrastructure.  The chain status is in the error data.

Puis

Event Type:       Error

Event Source:   Kerberos

Event Category:               None

Event ID:             3

Date:                    4/3/2012

Time:                    9:57:21 AM

User:                    N/A

Computer:         MYEXSERVER

Description:

A Kerberos Error Message was received:

         on logon session

 Client Time:

 Server Time: 7:57:21.0000 4/3/2012 Z

Error Code: 0xd KDC_ERR_BADOPTION

Extended Error: 0xc00000bb KLIN(0)

Client Realm:

 Client Name:

 Server Realm: UNIFIEDIT.LOCAL

Server Name: host/MyExServer.unifiedit.local

Target Name: host/MyExServer.unifiedit.local@UNIFIEDIT.LOCAL

Error Text:

 File: 9

Line: b22

Error Data is in record data.

 

 

En purgeant les tickets Kerberos et en redémarrant les services KDC de part et d’autre le problème a été résolu.

 

 

Documents additionnels

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21820

Cordialement

Laurent Teruin

 

 

Exchange : Correctif KB2550886 pour Windows 2008 R2 / R2SP1

KB2550886 – A transient communication failure causes a Windows Server 2008 R2 failover cluster to stop working

Le correctif proposé corrige des problèmes de de verrouillage de cluster en cas de problématique réseau. Il est vivement conseillé sur des infrastructures étendues sur deux sites distants. Dans le cas contraire le patch est malgré tout recommandé mais moins vital que pour les infrastructures réparties sur deux centres de données.

Dans le cas ou des perturbations réseaux sont rencontrées par Windows Failover cluster, la logique de reconnexion des nœuds du cluster engendrerai un blocage de la base de données du cluster ayant pour conséquence une perte des services de basculement.

Les équipes de Microsoft confirment avoir rencontré ces scénarios de blocage lors de perte de connexion réseau avoisinant les 60 Secondes. La résultante étant un blocage complet (deadLock) de l’intégralité du cluster avec pour conséquence un arrêt de toutes les bases de données.

Comme il n’est pas évident de déterminer quels nœuds du cluster sont effectivement bloqués (deadlockés) la seule solution est de redémarrer l’ensemble des membres du DAG afin de résoudre ce “verrou mortel”.

Le patch ainsi délivré permet de résoudre ce problème et comprend les correctifs suivants:

http://support.microsoft.com/kb/2549472 – Cluster node cannot rejoin the cluster after the node is restarted or removed from the cluster in Windows Server 2008 R2
http://support.microsoft.com/kb/2549448 – Cluster service still uses the default time-out value after you configure the regroup time-out setting in Windows Server 2008 R2
http://support.microsoft.com/kb/2552040 – A Windows Server 2008 R2 failover cluster loses quorum when an asymmetric communication fail

Il est à noter que ce correctif concerne également les clusters répartis en environnement Exchange 2007 reposant sur les technologies SCC et CCR. Par contre ne sont concerné que ceux fonctionnant dans l’environnement Windows 2008 R2 ou Windows 2008 R2 SP1.

A l’installation nous avons rencontré le problème suivant : Installer Encountered an error : 0X80070422

Ceci est dû au fait que les services BIT et Windows Update étaient arrêtés

Cordialement
Laurent Teruin

 

Outlook : Blocage de l’expéditeur qui ne fonctionne pas

ENVIRONNEMENT

Exchange 2007 / Outlook 2010

PROBLEME

Le blocage d’un expéditeur via le client Outlook ne fonctionne pas.

RAISON

Le fait que le blocage d’un expéditeur ne fonctionne pas peut être dû au fait que le flux SMTP entrant vers le serveur Exchange (Eventuellement d’un équipement tiers : Fortimail, Ironport etc..) est considéré comme étant de confiance. En fait ce cas se produit si vous avez paramétré vos « receive connector » (particulièrement ceux utilisé pour la réception de message provenant de votre relais de messagerie en DMZ par exemple) comme autorisant les adresses IP de vos boitiers de relais dans l’onglet Allowed Addresses.

Si vous faites cela, l’ensemble des flux de messagerie provenant de cette destination seront taggué avec un SCL ayant une valeur a -1 comme le montre les deux lignes suivantes.

X-MS-Exchange-Organization-Antispam-Report: IPOnAllowList
X-MS-Exchange-Organization-SCL: -1

Dans ce cas le client Outlook ne bloquera pas votre Expéditeur même si vous lui demandez. Nous avons effectuez pas mal de test, et le simple fait d’enlever l’adresse IP des boitiers relais de messagerie dans le « receive connector » Onglet AntiSpam / Allowed Addresses supprime le SCL a – 1 et le blocage du client via Outlook fonctionne à nouveau

Cordialement
Laurent Teruin

Update Rollup 4 pour Exchange 2007 SP3

Bonsoir !

Juste pour vous annoncer la sortie du rollup 4 dédié à Exchange 2007 SP3 !

Plus d’informations sur le site de l’équipe Exchange

http://blogs.technet.com/b/exchange/archive/2011/07/07/released-update-rollup-4-for-exchange-server-2007-sp3.aspx

Bonnes mises à jour ;)

David Pekmez

Sur quel serveur CAS sont connectés les utilisateurs ?

Un petit lien vers un blog excellent, plein de bonnes ressources Exchange !

Au passage, un lien vers un script qui vous sera sans doute utile pour trouver sur quel serveur CAS sont connectés vos utilisateurs !

http://www.mikepfeiffer.net/2011/04/determine-the-number-of-active-users-on-exchange-2010-client-access-servers-with-powershell/

Mike est Microsoft Certified Master (MCM) Exchange 2010, abonnez-vous à son blog !

Bonne lecture

David

Exchange 2010/2007 Supprimer les entêtes SMTP internes indiscrètes

(How to remove Received  Headers )

 

Bonjour

Si vous envoyez un message depuis un serveur de transport Exchange 2007/2010 vous vous apercevrez que les entêtes de messages SMTP divulguent un certain nombre de renseignements sur votre réseau interne.
L’exemple suivant donne un aperçu de ce qui est communiqué.

Received: from dtxvttr-exs-01.unified.fr (93.103.118.42) by
aubvitexs05.unifiedit.fr (10.253.0.13) with Microsoft SMTP Server (TLS) id
8.2.213.0; Thu, 13 Jan 2011 16:27:14 +0100
Received: from MyHub1.myactiveDirecory.local(196.102.15.97) by
mail.unifiedit.fr (92.104.117.42) with Microsoft SMTP Server (TLS) id
8.2.255.0; Thu, 13 Jan 2011 16:27:14 +0100
Received: from MailboxS1.myactiveDirectory.local ([172.23.49.1]) by
MyHub2.myactiveDirectory.local ([173.22.49.1]) with mapi; Thu, 13 Jan 2011
16:27:12 +0100

Pour éviter cela exécuter la commande

Get-SendConnector “Nomdevotresendconnector” | Remove-ADPermission -AccessRight ExtendedRight -ExtendedRights “ms-Exch-Send-Headers-Routing” -user “NT AUTHORITY\Anonymous Logon”

N’essayez pas d’utiliser les règles de transport pour effectuer cette opération. Cela ne fonctionnera pas si vous utilisez des serveurs Hub pour envoyer directement des messages vers Internet.

Cordialement
Laurent Teruin

Archives Exchange 2010 disponible avec Outlook 2007 !

Nous l’avons attendu et Microsoft vient de rendre cette fonctionnalité disponible via une mise à jour !

Téléchargement de la mise à jour : http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2458611

Référence Microsoft Blog de Damien Caro : http://blogs.technet.com/b/dcaro/archive/2010/12/14/acc-232-s-aux-archives-en-ligne-depuis-outlook-2007.aspx

Aller maintenant il ne reste qu’a :

1 – Acheter de l’espace de stockage en vous rappelant qu’avec Exchange Server 2010 vous pouvez utiliser des disques de coût moindre grâce aux derniers développement des équipes produits Microsoft (Baisse des IOPs de 90% entre Exchange 2003 et 2010 …)

2 – Sécuriser les données au sein de votre système de messagerie au lieu de stocker les informations dans les PST sur les postes clients, risquant de perdre vos données !

Bonne lecture !

David

MailAlertor : How to warn automatically your mail users that their AD password will expire

Un petit outil génial ! Nous avons tous le souci des personnes extérieures qui ne se connectent pas sur le réseau interne et ne sont pas alertés que leurs mots de passe va expirer. Voici un outil qui va résoudre ce souci. Connecté sur l’environnement AD il va scanner les comptes Active directory qui ont une boite aux lettres et les alerter par un message pouvant être accompagné d’une procédure à suivre. Simple et efficace !
Ce service car il s’agit d’un service Windows va se baser sur une base de données SQL qui peut être installé soit sur le serveur lui-même soit sur un serveur tiers. MailAlertor est composé des deux modules qui sont les suivants.

• Module : Service
  
  • OS : Windows 2008 Std Entreprise
    
  • Composant : .NET Framework 2.0
    
  • Utilise un compte LocalSystem
    
• Module programme mailalertor
  
  • Sert à configurer le service
    
  • Configurer les envois de messages
    
  • Configurer la nature du message (format HTML)
    
  • Configuration des alertes
    
  • Connexion à l’active Directory pour recherche des utilisateurs. (Fonctionne dans l’environnement de l’utilisateur). Sur 2008 server le compte utilisateur doit être admin de la machine.
    

   

  Je vous livre ici quelques écrans du produit en question
  

LA liste des alertes et du scope retenu.

 

La liste des utilisateurs concernés

Création d’une alerte par filtrage d’un scope

Scope de recherche des utilisateurs dans l’AD

• Par Domaine
  
• Par OU
  
• Par Groupe
  
• Possibilité d’appliquer un filtre de recherche. (User Filter)
  

Filtrage des utilisateurs

Le message d’alerte que l’utilisateur va recevoir.

Pour l’obtenir. Envoyez un mail a unifiedit@hotmail.fr pour le recevoir

Un grand merci à Philippe S !!
cordialement
Laurent Teruin

Exchange : Correctif MS10-70 : A appliquer rapidement (Suite & fin).

Voici les correctifs attendus qui corrigent les problèmes de sécurité du bulletin MS10-70.

.Net 4 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6ce703b7-08a5-4eff-a062-d5dc720908f6

.Net 3.5 sp1 for Server 2008 SP2 / Vista SP2 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=45aa5666-3454-443c-a224-2076215fef04

.Net 3.5 sp1 for Server 2008 R2 / Windows 7 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5e7dcf51-74f1-43cc-aece-0cd5df05ddb7

.Net 3.5 sp1 for Server 2003 SP2 / Windows XP http://www.microsoft.com/downloads/en/details.aspx?FamilyID=3d31fd37-eb58-4169-b6b9-4cf854524e46

.Net 1.1 for Server 2003 SP2 / Windows XP http://www.microsoft.com/downloads/en/details.aspx?FamilyID=a7990e61-21fd-4942-9dfe-af7961cb0282

Cordialement
Laurent TERUIN

Exchange : Correctif MS10-70 : A appliquer rapidement

J’avais promis de revenir vers vous. Voilà qui est fait. L’alerte de sécurité de Microsoft MS10-70 est relativement sérieuse et affecte la couche asp.net et par conséquent les services Exchange. Le risque est présent et une personne pourrait éventuellement accéder à des fichiers tels que le web.config. Le risque est potentiel sur toutes les versions de ASP.NET. Microsoft recommande donc d’appliquer très rapidement ce correctif sur toutes les plates formes concernées

Plates-formes concernées

Operating System	Component	Maximum Security Impact	Aggregate Severity Rating	Bulletins Replaced by this Update
Windows XP
Windows XP Service Pack 3	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)	Information Disclosure	Important	MS10-041
Windows XP Service Pack 3	Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows XP Professional x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)	Information Disclosure	Important	MS10-041
Windows XP Professional x64 Edition Service Pack 2	Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2003
Windows Server 2003 Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416451) Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2003 x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)	Information Disclosure	Important	MS10-041
Windows Server 2003 x64 Edition Service Pack 2	Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2003 with SP2 for Itanium-based Systems	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)	Information Disclosure	Important	MS10-041
Windows Server 2003 with SP2 for Itanium-based Systems	Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Vista
Windows Vista Service Pack 1	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Vista Service Pack 1	Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)	Information Disclosure	Important	MS09-036
Windows Vista Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Vista x64 Edition Service Pack 1	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Vista x64 Edition Service Pack 1	Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)	Information Disclosure	Important	MS09-036
Windows Vista x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2008
Windows Server 2008 for 32-bit Systems	Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0** (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 for 32-bit Systems	Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2** (KB2416474)	Information Disclosure	Important	MS09-036
Windows Server 2008 for 32-bit Systems Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0** (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 for x64-based Systems	Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0** (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 for x64-based Systems	Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2** (KB2416474)	Information Disclosure	Important	MS09-036
Windows Server 2008 for x64-based Systems Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0** (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 for Itanium-based Systems	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 for Itanium-based Systems	Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)	Information Disclosure	Important	MS09-036
Windows Server 2008 for Itanium-based Systems Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows 7
Windows 7 for 32-bit Systems	Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows 7 for x64-based Systems	Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems	Microsoft .NET Framework 3.5.1* (KB2416471) Microsoft .NET Framework 4.0* (KB2416472)	Information Disclosure	Important	None
Windows Server 2008 R2 for Itanium-based Systems	Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0 (KB2416472)	Information Disclosure	Important	None

Important : ce dernier va demander un reboot des serveurs Exchange

Plus d’informations en anglais sont disponibles à l’adresse suivante : http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Cordialement
Laurent Teruin