Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘1-EXCHANGE 2010’ Category

RDM or not RDM

Posted by Anthony Costeseque sur juin 29, 2012


Là est la question !

Bonjour à tous,

La question qui revient régulièrement lorsque l’on parle de vitaliser Exchange 2010 et que le choix se porte sur l’hyperviseur de VMware vSphere, c’est quelle enveloppe utiliser pour le stockage.

RDM : Raw Device Mapping (accès direct au stockage présenté)

OU

VMFS : un Datastore formaté avec le système de fichier propriétaire de VMware, le VMFS (celui contiendra des fichiers à plat de disque dur de type .vmdk)

Détruisons tout de suite le mythe qui remonte à VMware 3.5 et précédant ! Et qui est incrusté dans l’inconscient collectif 😉

Il n’y a plus de différences de performances entre VMFS et RDM, vous ne gagnerez pas en performance en utilisant du RDM !

(Le gain ne sera absolument pas perceptible !)

Maintenant faisons une comparaison entre les deux :

RDM :

  • Mapper 1 LUN vers 1 virtual machine, donc nous avons une isolation des I/O
  • En fonction du nombre de LUNs necessaires, la limite des 256 LUNs sera rapidement atteinte !
  • Permet d’utiliser les outils de backup/réplication fournie par la baie de stockage reposant sur Volume Shadow Copy Service (VSS)
  • Support pour les disques partagés en cluster
  • Support pour l’utilisation avec VMware Site Recovery Manager
  • Support de volumes jusqu’à 64TB (RDM en mode physique)

VMFS :

  • Solution préférée, utilise tous les avantages des fonctionnalités liées au stockage présente (elle celles futures)
  • Un volume (Datastore) peut contenir plusieurs VMs (ou être dédié à une VM)
  • Augmente l’utilisation du stockage, fourni une meilleur flexibilité, une administration et un management plus simple
  • Non supporté pour les disques partagés en cluster
  • Support pour l’utilisation avec VMware Site Recovery Manager
  • Disque virtuel .vmdk limité à 2TB

 

Bilan : VMFS recommandé 🙂

Pour toutes questions n’hésitez pas.

Anthony COSTESEQUE

Publicités

Posted in 1-EXCHANGE 2010, Exchange 2010 Service Pack 1, Performance-2010, Stockage-2010 | 1 Comment »

Exchange et le Stockage – Partie 13

Posted by Anthony Costeseque sur juin 11, 2012


Bonjour à tous,

Nous avons vu dans la Partie 11 comment faire sur EMC² VNX

Nous avons vu dans la Partie 12 comment faire sur Hitachi (HDS) !

Aujourd’hui nous allons voir comment déployer au mieux (best practices) votre solution exchange 2010 sur NetApp.

  1. Commençons par le commencement le type de la baie !

Il est évident que le model sera conditionné par la taille de votre future infrastructure : Le nombre d’utilisateurs et la taille des boîtes aux lettres étant les principaux facteurs.

Chez NetApp nous parlerons de Fabric-Attached Storage (FAS).

Le standard sera un FAS3210 et pour les déploiements plus importants on passera sur un FAS3240 (le plus important étant le nombre maximum de disque supporté)

FAS3210 : 240 disks

FAS3240 : 600 disks

FAS3270 : 960 disks


Un exemple d’implémentation (ici un FAS3210 HA pair (2 Contrôleurs : FAS3210-1 / FAS3210-2))

Pour ce type de configuration et pour éviter toute mauvaise surprise je vous conseille d’ajouter 1 carte « Flash Cache » de 256GB sur chaque contrôleur 🙂

Prenons un exemple de design de solution pour 6000 utilisateurs :

L’idée ici est d’avoir 2 serveurs MBX (3000 utilisateurs par serveur) en DAG

    Sur chaque serveur 4 DBs actives / 4 DBs passives

    Sur chaque DB : 750 users avec 2GB de quota

    Total dans le DAG 8 DBs Actives / 8 DBs Passives

Pour séparer les domaines de risques nous mettons toutes les DBs actives dans 2 Aggregats sur le contrôleur 1 et toutes les DBs passives dans 2 aggregats sur le contrôleur 2

  1. Ensuite vient le type de disque

Le FAS supportent FC/SAS/NL-SAS/SATA

Nous l’avons vu dans les précédents billets, Exchange est optimisé du côté des IO permettant l’utilisation de disque 7200tr/m donc la règle est la suivante :

Faible IOs requis et large capacité de boîtes aux lettres (2Go) -> On utilisera du NL-SAS (ou encore du SATA) 7200 tr/m

Important IOs requis et faible capacité de boites aux lettres (<1Go) -> On utilisera du SAS 10000 tr/m voir 15000 tr/m (si besoin)

Jusqu’à maintenant j’ai toujours vu du NL-SAS 7200 tr/m de 2To ou 1To.

  1. Puis le type de RAID (bien lire le concept de NetApp)

Attention cette étape est très importante.

Concept : Sur les FAS nous utiliserons des « Aggregats » composé de RAID Group en RAID DP (Dual Parity (RAID 6 sauf que disques de partités fixes))

On provisionnera dans les Aggregats des FlexVol lesquelles contiendront des LUNs (sous forme de fichiers plats) (Data ONTAP étant File non Block)

Pour les RAID Group nous n’avons pas le choix c’est du RAID-DP


Avec un schéma ça aide 🙂

Découpage :


Nous utilisons des disques SATA 1TB 7,2K

Pour les DB Actives sur le contrôleur 1

    aggr1 (RAID Group de 14 disques (RAID-DP (12+2)) : 5 premier FlexVol (4 pour les DBs & 1 pour les logs de ces 4 DBs)

    aggr2 (RAID Group de 14 disques (RAID-DP (12+2)) : 5 FlexVol suivant (4 pour les DBs & 1 pour les logs de ces 4 DBs)

On fait la même chose sur le contrôleur 2 pour les DB Passives

Ici nous avons bien une séparation de domaine de Risques pour les DBs et Logs.

Database LUN Size : 1650GB

Logs LUN Size : 100GB

  1. Le type de connexion

Stockage « intelligent » donc SAN en FC ou iSCSI.

Je vous recommande du FC pour les 16Gb/s de bande passante (4 ports FC de 4Gb/s en (2 par contrôleur))
ainsi que la faible latence !

L’iSCSI est bien aussi mais demande tout de même des switch dédiés pour le trafic stockage (optimisés iSCSI si possible) mais le problème vient surtout de la bande passante disponible ! De façon classique nous avons 2Gb/s (2 ports Ethernet de 1Gb/s en roud robin) qui peuvent vite représenter un goulot d’étranglement sur des infrastructures importantes ! (rappelez-vous le background database maintenance (BDM) et son besoin en bande passante !). Les ports iSCSI 10Gb/s existent pour les VNX et peuvent représenter une alternative intéressante mais vos switch Ethernet devront les supporter !

Si vous pensez mettre en place une infrastructure FCoE (10Gb) alors pas de problèmes du moment que toute la chaine est prévue pour ! (switch Nexus etc).

  1. Enfin les recommandations générales
  • Utiliser des FlexVol dédiés pour vos Databases
  • Utiliser des FlexVol dédiés pour vos logs
  • NetApp recommande d’avoir 10% d’espace dispo dans les FlexVol
  • Utiliser SnapDrive pour provisionner vos LUNs :p cela sera plus simple que de le faire à la main !
  • Faire bien attention au nombre d’axe par aggregat (dans notre exemple on utilise des 1To si on passait sur des 2To cela diviserait par 2 le nombre d’axe et la solution de ne serait plus du tout possible (pas assez de nombre d’IOPS pour soutenir la charge))

Reference : Document NetApp TR-3824.pdf

Pour toutes questions n’hésitez pas !

Bonne lecture 🙂

La prochaine fois nous parlerons de HP.

Anthony COSTESEQUE

Posted in 1-EXCHANGE 2010, Exchange 2010 SP2, Performance-2010, Stockage-2010 | 1 Comment »

Exchange 2010 : Comment forcer Outlook 2010 à se connecter en Outlook Anywhere.

Posted by Teruin laurent sur juin 11, 2012


Pour forcer les clients Outlook à se connecter en RPC over Https il existe une méthode simple qui consiste à fixer dans l’environnement Microsoft Exchange son comportement par défaut.

En utilisant la commande Set-OutlookProvider et les paramètres suivants :

  • OutlookProviderFlags : Le paramètre OutlookProviderFlags indique que les clients Outlook 2010 doivent se connecter via RPC sur HTTP (Outlook Anywhere) avant d’essayer RPC via des connexions TCP. Cela augmente la vitesse à laquelle les clients Outlook 2010 se connectent lorsque des clients accèdent principalement à Exchange via Internet. La valeur peut être définie sur ServerExclusiveConnect ou None pour effacer les indicateurs. Pour les clients Outlook 2010 accédant à Exchange sur les intranets d’entreprise et sur Internet, la valeur recommandée est None, qui est également le paramètre par défaut.
  • CertPrincipalName : Le paramètre CertPrincipalName spécifie le nom principal du certificat SSL (Secure Sockets Layer) requis pour la connexion à Exchange à partir d’un emplacement externe. Ce paramètre est utilisé uniquement pour les clients Outlook Anywhere. C’est ce que vous allez indiquer dans le champ suivant :

La seconde méthode est d’utiliser les GPO de façon à modifier le paramétrage de Outlook en téléchargeant un fichier ADM qui contient ces informations. Voir article : http://support.microsoft.com/kb/2426686/fr


 

Une fois installée vous avez la possibilité de configurer les différents paramètres régissant la connexion RpcOverHttps.




 


 


N’oubliez Pas ! Si vous désirez avoir accès au référentiel documentaire envoyez un message à Unifiedit@hotmail.com !

Posted in 1-EXCHANGE 2010, Cas-2010 | Leave a Comment »

Exchange 2010 RU 3 pour SP2

Posted by Teruin laurent sur mai 29, 2012


Bonjour ! Microsoft vient de sortir le correctif RU3 pour Microsoft Exchange 2010 SP2 qui est essentiellement correctif

Voici le lien pour le récupérer : http://www.microsoft.com/en-us/download/details.aspx?id=29899

Cordialement
Laurent Teruin

Voici la liste des problèmes qui sont corrigés via l’application de ce dernier :

N’oubliez Pas ! Si vous désirez avoir accès au référentiel documentaire envoyez un message à Unifiedit@hotmail.com !

•2510607 « Cannot open the free/busy information » error message when you try to view folder permissions in Outlook
•2514700 Extra.exe does not trace a single user whose legacyExchangeDN attribute contains one or more special characters in an Exchange Server 2010 environment
•2571342 The Folder contacts list is empty when a user views the properties of a mail-enabled public folder in an Exchange Server 2010 environment
•2572029 Synchronization of an organizational forms library fails when you use Outlook in Cache mode in an Exchange Server 2010 environment
•2586828 The EdgeTransport.exe process consumes 100 percent of CPU resources on an Exchange Server 2010 Edge Transport server
•2589233 Meeting requests bypass the requirement for delegate approval and instead book resource mailboxes automatically in an Exchange Server 2010 environment
•2633043 « There were no writeable domain controllers found in Active Directory site » error message when you run the ExBPA tool in an Exchange Server 2010 organization
•2647396 You cannot disable a public folder by using the « Disable-MailPublicFolder » cmdlet in an Exchange Server 2010 environment
•2648263 You cannot open routing log files on Exchange Server 2010 Hub Transport servers in a mixed Exchange Server 2003 and Exchange Server 2010 environment
•2667120 MSExchangeAutodiscoverAppPool application pool crashes on an Exchange Server 2010 Client Access server when you try to view the free/busy information about a user in a trusted domain
•2668900 Event ID 2915 is logged when you apply a fallback policy to a service account in an Exchange Server 2010 environment
•2670099 You cannot open calendar folders that are shared by hidden users in an Exchange Server 2010 environment
•2671128 RPC Client Access Cross-Site connectivity issues occur in an Exchange Server 2010 environment
•2673542 MRM retention policy in the Junk E-Mail folder does not work when you manually move email messages in an Exchange Server 2010 environment
•2673591 Crash occurs in the Autodiscover application pool in an Exchange Server 2010 environment
•2674185 MAPI_E_CALL_FAILED errors occur when a MAPI application that uses the MAPI function in Outlook 2007 MAPI or in Outlook 2010 tries to access an Exchange Server 2010 server
•2674445 You cannot change the access permissions of a Calendar folder in an Exchange Server 2010 environment
•2677872 You cannot use a distribution group in the hierarchical address book when you create the group in Exchange Server 2003
•2681250 « 550 5.6.0 » NDR when a journal report is sent to an external contact in an Exchange Server 2010 environment
•2682047 You cannot access a mailbox for several hours after you disconnect and then reconnect the mailbox in an Exchange Server 2010 SP2 environment
•2682408 AddOrganizerToSubject parameter does not take effect when a recurring meeting conflicts with another meeting in an Exchange Server 2010 environment
•2682895 Error message when a role assignee runs the Get-MailboxExportRequestStatistics cmdlet in an Exchange Server 2010 environment
•2684583 You cannot delete an empty folder in a .pst file by using Outlook in an Exchange Server 2010 environment
•2689810 A meeting request that you send from an EWS application is in plain text format instead of HTML format when an attendee opens the request by using Outlook in online mode
•2695011 Junk Email settings do not work as expected after you migrate or move a mailbox to an Exchange Server 2010 SP1 Mailbox server
•2695022 The E-mail Signature text box is not editable in Outlook Web App when you use Google Chrome in an Exchange Server 2010 environment
•2695836 You cannot move a mailbox in an Exchange Server 2010 environment that has a message size limit configured
•2696642 An additional line of space is added in each paragraph in an email message when you click the Printable View icon in Outlook Web App in an Exchange Server 2010 environment
•2698927 Resource mailbox that has AutoAccept configured does not process a meeting request that contains custom code or script in Exchange Server 2010
•2698960 You cannot move some users’ mailboxes from one Exchange Server 2010 mailbox database to another
•2698976 Managed Folder Assistant does not process a mailbox that has external contacts in another tenant organization in an Exchange Server 2010 environment
•2699023 Event ID 9646 is logged on the Exchange Server 2010 mailbox server when you access a mailbox that has more than 250 folders by using an IMAP4 client
•2699577 GAL-related client-only message rule is not applied in Outlook after you apply RU1 for Exchange Server 2010 SP2 in an Exchange Server 2010 environment
•2699582 Error message when you play a voice mail by using Outlook 2007 in an Exchange Server 2010 environment
•2700544 Multiple recovery items are added to a subfolder of the Recoverable Items folder in an Exchange Server 2010 environment
•2705425 UMWorkerProcess.exe consumes large amounts of memory when you try to listen to voice messages by using Outlook Voice Access in an Exchange Server 2010 environment
•2705555 The Set-Mailbox cmdlet takes a long time to complete configuration in an Exchange Server 2010 environment
•2705570 An error occurs when a user whose mailbox is hidden from the Exchange address list tries to open the Scheduling Assistant tab by using the light version of Outlook Web App
•2705647 A user cannot log on to a mailbox that is full by using Outlook Web App in an Exchange Server 2010 environment
•2705682 Post-reform spelling rules are not used in the Portuguese (Portugal) dictionary in Outlook Web App in an Exchange Server 2010 environment
•2706523 You cannot create a mailbox or mail-enable a mailbox for a disabled user account in an Exchange Server 2010 environment
•2708880 You cannot set the « Country/region » attribute of a user mailbox to « Curaçao, » « Bonaire, Sint Eustatius and Saba, » or « Sint Maarten (Dutch part) » by using the Exchange Management Console on an Exchange Server 2010 server

Posted in 1-EXCHANGE 2010, Mise-a-jour-2010 | Leave a Comment »

Exchange et le Stockage – Partie 12

Posted by Anthony Costeseque sur mai 25, 2012


Bonjour à tous,

Apres une longue absence :/ en ce moment (c’est en permanence en fait) mais particulièrement ces 4 derniers mois, le planning était très chaud.

Mais reprenons là où nous avions arrêté, comment déployer au mieux (best practices) votre solution exchange 2010 en fonction des différents constructeurs.

Nous avons vu dans la Partie 11 comment faire EMC² (ce post sera complété dans un proche avenir suite aux différentes annonces faites à l’EMC² Word 2012 qui c’est déroulé cette semaine à Las Vegas).

Nous allons voir aujourd’hui Hitachi (HDS) !

  1. Commençons par le commencement le type de la baie !

Il est évident que le model sera conditionné par la taille de votre future infrastructure : Le nombre d’utilisateurs et la taille des boîtes aux lettres étant les principaux facteurs.

Chez Hitachi (HDS) nous parlerons maintenant de Hitachi Unified Storage 100 Family (HUS (nouvelle baie unifiées)).

Le standard sera une HUS130 et pour les déploiements plus importants on passera sur un HUS150 (le plus important étant le nombre maximum de disque supporté)

HUS110 : 120 disks

HUS130 : 252 disks

HUS150 : 960 disks

En règle générale sur un déploiement d’au moins 10000 utilisateurs on a souvent 2 salles (voir 2 sites) pour la Haute Disponibilité et donc 2 HUS130 font parfaitement l’affaire.


Un exemple d’implémentation (ici sur des HUS 150 mais sur des HUS 130 c’est très bien aussi)

Prenons un exemple de design de solution pour 8000 utilisateurs

  1. Ensuite vient le type de disque

Les HUS supportent SAS/NL-SAS

Nous l’avons vu dans les précédents billets, Exchange est optimisé du côté des IO permettant l’utilisation de disque 7200tr/m donc la règle est la suivante :

Faible IOs requis et large capacité de boîtes aux lettres (2Go) -> On utilisera du NL-SAS (ou encore du SATA) 7200 tr/m

Important IOs requis et faible capacité de boites aux lettres (<1Go) -> On utilisera du SAS 10000 tr/m voir 15000 tr/m (si besoin)

Jusqu’à maintenant j’ai toujours vu du NL-SAS 7200 tr/m de 2To.

  1. Puis le type de RAID (bien lire le concept d’Hitachi)

Attention cette étape est très importante.

Concept : Sur les HUS nous utiliserons « Hitachi Dynamic Provisioning » qui s’appuie sur l’utilisation de Pools (Dynamic Provisioning Pool (DP Pool)) constitués de plusieurs RAID Group.

On provisionnera dans ces DP Pools des Dynamic Provisioning Virtual Volumes (DP-VOLs)

Pour les RAID Group nous utiliserons du RAID 1/0 (2+2) (striping + mirroring)


Avec Schéma ça aide 🙂

Découpage :


Ici nous avons bien une séparation de domaine de Risques pour les DBs et Logs.

Nous créerons donc 2 Dynamic Provisioning Pools (DP Pools) :

  • DB Pool avec 7 RAID Group 1/0 (2+2)
  • Logs Pool avec 2 RAID Group 1/0 (2+2)

A partir du DB Pool nous créerons 8 Dynamic Provisioning Virtual Volumes (DP-VOLs) de 1200GB chacun pour contenir les 8 DB requises (1000 utilisateurs par DBs)

A partir du Logs Pool nous créerons 8 Dynamic Provisioning Virtual Volumes (DP-VOLs) de 120GB chacun pour contenir les 8 espaces de Logs requis (pour les 8 DBs)

  1. Le type de connexion

Stockage « intelligent » donc pas de DAS que du SAN en FC ou iSCSI.

Je vous recommande du FC pour les 8Gb/s de bande passante (2 ports FC de 4Gb/s en roud robin)
ainsi que la faible latence !

L’iSCSI est bien aussi mais demande tout de même des switch dédiés pour le trafic stockage (optimisés iSCSI si possible) mais le problème vient surtout de la bande passante disponible ! De façon classique nous avons 2Gb/s (2 ports Ethernet de 1Gb/s en roud robin) qui peuvent vite représenter un goulot d’étranglement sur des infrastructures importantes ! (rappelez-vous le background database maintenance (BDM) et son besoin en bande passante !). Les ports iSCSI 10Gb/s existent pour les VNX et peuvent représenter une alternative intéressante mais vos switch Ethernet devront les supporter !

Si vous pensez mettre en place une infrastructure FCoE (10Gb) alors pas de problèmes du moment que toute la chaine est prévue pour ! (switch Nexus etc).

  1. Enfin les recommandations générales

Si votre baie est multi usage (pas uniquement Exchange) :

  • Au moment du formatage de votre LU, mettre l’ALU à 64KB pour les DB et 4KB pour les Logs
  • Pas de problèmes d’alignement des disques avec Windows 2008 R2 (aligné à 1MB)
  • Eviter de mixer les Workload d’Exchange avec d’autres applications (dans les 2 DP Pools que nous avons créé dans notre exemple)
  • Utiliser Hitachi Dynamic Link Manager pour la partie MultiPathing (éviter le soft de multipathing natif à l’OS)
  • Utiliser Hitachi Dynamic Provisioning (HDP) comme nous l’avons vu dans notre exemple
  • Due à la différence des paterns d’IO pour les DB et Logs, séparer les DBs des Logs en utilisant plusieurs DP Pools (comme vu dans notre exemple)
  • Vous pouvez utiliser du RAID-5 ou du RAID-10 pour les DBs et Logs, mais l’utilisation du RAID-10 apporte une pénalité en écriture moindre et des temps de réponses meilleurs ! (et en plus une reconstruction de disque suite à remplacement de disque HS plus rapide !)
  • Les Logs LU doivent être d’au moins 10% la taille du LU des DBs (mais peut être supérieur en fonction du nombre de jours de retentions que vous souhaitez (attention si vous utilisez des Lagged Databases))
  • L’utilisation de LU concaténées n’est pas recommandé
  • L’utilisation des DAGs avec au moins 2 DBs (1 active et 1 passive) est recommandée (pas besoin de mécanisme au niveau du stockage pour la résilience)
  • Isoler la copie active de la copie passive soit entre plusieurs HDP soit entre 2 ou + baies (le cas dans notre exemple (2 baies))
  • Utiliser des LUs plus grande pour réduire le nombre de DBs (Maximum recommandé 2TB pour les DBs)

Pour toutes questions n’hésitez pas !

Bonne lecture 🙂

La prochaine fois nous parlerons de NetApp.

Anthony COSTESEQUE

Posted in 1-EXCHANGE 2010, Exchange 2010 SP2, Performance-2010, Stockage-2010 | 3 Comments »

An unexpected error occurred and your request couldn’t be handled. OWA 2010

Posted by Teruin laurent sur mai 10, 2012


Error Message : An unexpected error occurred and your request couldn’t be handled / The service ‘/EWS/exchange.asmx’ cannot be activated due to an exception during compilation

We have encountered this issue on 3 fresh Exchange 2010 installations SP1 RU1 on OWA when trying to delete a message on OWA
Nous avons rencontrés dans le cadre d’une installation Exchange 2010 le problème suivant lors de la tentative de suppression d’un message dans OWA



We have decided to install RU2 reboot etc…
Nous avons installé le RU2 . meme probléme

Same issue
Our binding on default website are


When we try to delete a msg on owa we have this on application log.
En supprimant un message nous avons vu dans le journal des applications les entrées suivantes.


WebHost failed to process a request.

Sender Information: System.ServiceModel.ServiceHostingEnvironment+HostingManager/56566820

Exception: System.ServiceModel.ServiceActivationException: The service ‘/EWS/exchange.asmx’ cannot be activated due to an exception during compilation. The exception message is: This collection already contains an address with scheme http. There can be at most one address per scheme in this collection.

Parameter name: item. —> System.ArgumentException: This collection already contains an address with scheme http. There can be at most one address per scheme in this collection.

 

Outlook Web App couldn’t connect Exchange Web Services due to a configuration error. Response code = « 500 ».

We change the binding in a way to have just one binding per port


Same Issue

The certificate on IIS is ok and contains right Subject alternate name

Le certificate sur IIS est correct et contient les bon SAN

We have delete the second entries http 4443 used for a specific remote powershell connection and it works again.

Nous avons supprimer l’entrée que nous avions ajouter et tout refonctionne.

The question is now … how to have a secondary bindings 😉
La question est désormais de savoir comment l’on peut mettre une seconde entrée sans avoir ce souci .

Cordialement
Laurent Teruin

Noubliez Pas ! Si vous désirez avoir acces au réféntiel documentaire envoyez un message à Unifiedit@hotmail.com !

 

 

 

Posted in 1-EXCHANGE 2010, Owa-2010 | Leave a Comment »

Exchange 2010 Cas : Utiliser les fonctionnalités X-Forwarded-For sous Windows 2008 R2

Posted by Teruin laurent sur avril 24, 2012


Dans le cas de l’utilisation des fonctions de répartition de charges, et dans le but d’éviter des demi-sessions, on peut être contraint à utiliser des fonctions de Nat source (SNat ou Snat Automap) sur les répartiteurs de charge.

Note : Après l’avoir testeé, la procédure donnée par F5 dans le guide « Deploying the BIG-IP System v10 with Microsoft Internet Information Services 7.0 » ne semble pas correcte.

L’inconvénient de cette technique est que par défaut, les administrateurs Exchange vont perdre l’adresse IP des clients http(s). Une solution de contournement consiste à mettre en place sur les répartiteurs de charge réseau une fonctionnalité qui permet d’insérer dans l’entête http l’adresse Ip de ces derniers. Si cela est possible dans certains répartiteur de charge, les serveurs IIS par défaut, ne logueront pas cette information sauf si vous activez les options de journalisations avancées de IIS et que vous configuriez ces dernières pour prendre en compte cette information.

Pour installer sur vos Cas Server Windows 2008 R2 X64 cette fonctionnalité, il vous faudra récupérer un module complémentaire. Pour récupérer ce module de journalisation avancée cliquez sur le lien suivant :

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7211

Et procédez à son installation sur le serveur Web Windows 2008 R2 Cas Exchange 2010



Une fois installé, ouvrez Internet Information Services (IIS) Manager et dans le panneau de connexion cliquez sur le répertoire sur lequel vous désirez configurer la journalisation avancée.


Activer les fonctions de journalisation avancées en cliquant sur Enable Advanced Logging


Puis modifier les journaux en ajoutant la valeur X-Forwaded-For comme le montre l’exemple suivant :



Ensuite retourner dans Advanced Logging et cliquer sur Edit Log Definition


Dans la fenêtre suivante cliquez sur X-Forwarded-FOR pour activer son suivi


Si la fonction n’est pas activée pensez à l’activer en cliquant sur Enable Advanced Logging



 

Les journaux IIS comprendront désormais les adresses IP de vos chers clients http.

 

Cordialement
Laurent Teruin

 

 

 

Posted in 1-EXCHANGE 2010, Cas-2010, Haute disponibilité | Leave a Comment »

Lync & Certificats Publics.. : Pas si publics que ça … suite et fin ;-)

Posted by Teruin laurent sur mars 14, 2012


Bon alors comme je voulais avoir le fin mot de l’histoire et surtout savoir si l’on devait déployer ces fameuses autorités de certification intermédiaire, je me suis mis en tête d’appeler Verisign. Bon après un demie heure de .. appuyer sur 1 appuyer sur 2 etc.. Pour finalement tomber sur un répondeur m’invitant à taper une extension de poste…., j’ai switcher sur le support Globalsign ou j’ai pu avoir le fin mot de l’histoire.

Remerciements au passage aux interlocuteurs de Globalsign pour leur disponibilité et la qualité de leurs échanges ainsi que du temps passé. C’est assez rare parfois, alors autant le souligner. 😉

D’après le support, les autorités de certifications intermédiaires auraient été positionnées pour éviter de trop exposer les autorités racines. Utilisée sur un serveur Web elles n’impliqueraient pas la nécessité de déployer la chaine de certificat de l’autorité intermédiaire sur le poste de travail car rappelons le, l’utilisateur ne sera pas prompté si et seulement si les 4 conditions ci-dessous sont remplies:

  • Le certificat n’est pas révoqué
  • Le certificat contient le nom qui correspond à l’URL tapée par l’utilisateur
  • Le certificat est émis d’une autorité de certification approuvé par le poste de travail
  • Le certificat n’est pas expiré

Or les autorités de certifications intermédiaires permettraient (à conditions qu’elles soient néanmoins déployées sur le serveur Web) de ce passer de les déclarer sur les postes qui visiteraient le site. Entre nous….ce qui parait plausible.

Alors …j’ai testé en prenant un poste Windows 7 tout neuf et en allant sur un site Web (https://meet.mycompany.com) doté d’un beau certificat Wildcard Globalsign et ça marche !!! Pas de prompt !

Le poste est tout neuf, n’est pas dans le domaine et n’a rien à voir avec l’entreprise.

Alors installons le client Lync et testons l’accès au Edge doté cette fois ci d’un certificat SAN Globalsign.

Et …

Ca marche !


Passons maintenant à la dernière version du client Lync CU3

Résultat ;-))


Note : notre serveur Edge possède bien dans son magasin l’autorité de certification intermédiaire. C’est également le cas pour ce qui est des serveurs Edge de fédération qui de facto fonctionne

Donc .. le consultant GlobaSign ..avait raison 😉 . Voila de quoi me réconcilier avec ces chères institutions 😉

Un grand merci encore une fois aux équipes de GlobalSign

Bonne soirée

Laurent Teruin

 


 

Posted in Certificat-2010, Lync 2010, Lync Client | Leave a Comment »

Lync & Certificats Publics.. : Pas si publics que ça … mise à jour

Posted by Teruin laurent sur mars 14, 2012


Bonjour

Plusieurs problèmes récents liés aux certificats et à Lync 2010 m’amène à poster cet article

Pour que les services Lync Edge / reverse proxy fonctionnent correctement, il faut que le mobile ou le pc approuve l’autorité de certification de confiance qui a émis ce certificat. L’autorité de certification la plus communément reconnue et par conséquent installée dans le magasin de certificat des ordinateurs semble être Verisign et Thawte.

Cependant, cela n’empêche pas les autres de fonctionner convenablement à condition que les autorités de certification qui ont délivrées le certificat, à savoir l’Autorité racine de confiance ou l’autorité intermédiaire soient présentes dans le magasin du périphérique qui accède à Lync. Périphérique qui peut être un téléphone mobile (Windows Phone, Iphone etc..) , un Serveur Lync Edge (Fédération), un Pc de l’entreprise dans le domaine, un pc externe inconnu.

Bien sûr me direz-vous que si vous achetez des certificats publics (au prix où parfois ils sont vendus ….), c’est pour justement ne pas avoir à mettre en place des certificats d’autorités de confiance dans les PC. J’en conviens mais……. Mais parfois ce n’est pas le cas.

Pour tester j’ai installé une machine Windows 7 «  from scratch » que je l’ai mis à jour.

Voici ce qu’elle possédé dans son magasin de certifications


 


On n’y trouve Thawte Verisign (qui semble être la même société par ailleurs) mais pas de trace de Comodo ni de Globalsign par exemple. Ce qui veut dire que pour ces autorités, il faudra déployer des certificats d’autorités de confiance Racines et voir intermédiaires sur les postes de travail de l’entreprise. En Gpo ça se fait très rapidement. Par contre sur les Smartphones, c’est selon le système d’exploitation parfois un peu plus compliqué, surtout si vous en avez beaucoup ;-))

Cependant reste le problème de l’accès WEB APP de Lync qui est censé être utilisé par des clients externes en https, et qui n’étant pas dans le domaine, n’auront pas forcement les bonnes autorités de certifications dans leurs magasins. Pour eux, lorsqu’ils tenteront d’accéder à une réunion par web app un warning de certificat s’affichera avec la possibilité de continuer néanmoins. C’est moyen je vous l’accorde mais ….pas le choix.

Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs !.

D’autre part, il n’est pas exclu, même si vous choisissez une autorité connue par défaut dans Windows 7 que cela suffise. Pourquoi ? Parce que les autorités de certifications publiques peuvent si elle le souhaite, utiliser des nouvelles autorités de certifications intermédiaires pour délivrer des certificats publics. De facto, cette nouvelle autorité de certification publique de confiance et intermédiaire ne sera donc pas présente dans vos magasins. Et par conséquent cela ne fonctionnera pas. Un exemple ? un certificat récemment acheter auprès de Vérisign . Vous remarquerez le nom de l’autorité de certification intermédiaire


Concernant la fédération avec Windows Live et autre IM, peu de problème sont remontés pour le moment.

Certificat pour les Phone Edition

Pour les téléphones voici les autorités racines approuvés par défaut sur Lync Phone Edition

Fournisseur  

Nom du certificat  

Date d’expiration  

Longueur de la clé  

Comodo 

AAA Certificate Services 

12/31/2020 

2048 

Comodo

AddTrust External CA Root 

5/30/2020 

2048 

Cybetrust 

Baltimore CyberTrust Root 

5/12/2025 

2048 

Cybetrust 

GlobalSign Root CA 

1/28/2014 

2048 

Cybetrust 

GTE CyberTrust Global Root 

8/13/2018 

1024 

VeriSign 

Class 2 Public Primary Certification Authority 

8/1/2028

1024 

VeriSign 

Thawte Premium Server CA 

12/31/2020 

1024 

VeriSign 

Thawte Server CA 

12/31/2020 

1024 

VeriSign 

Comodo 

1/7/2010 

1000 

VeriSign 

Class 3 Public Primary Certification Authority 

8/1/2028 

1024 

Entrust 

Entrust.net Certification Authority (2048)

12/24/2019 

2048 

Entrust 

Entrust.net Secure Server Certification Authority 

5/25/2019 

1024 

Equifax 

Equifax Secure Certification Authority 

8/22/2018 

1024 

GeoTrust 

GeoTrust Global CA 

5/20/2022 

2048 

Go Daddy 

Go Daddy Class 2 Certification Authority 

6/29/2034

2048 

Go Daddy 

http://www.valicert.com/ 

6/25/2019 

1024 

Go Daddy 

Starfield Class 2 Certification Authority 

6/29/2034 

2048 

 

Donc avant de signer chez un fournisseur d’autorité de certification publique comme on dit dans le sud … Méfi !

Vérifier également sur le site de Microsoft que cette autorité de certifications publiques est bien certifiée UC par l’éditeur voir ci-dessous ou. lien suivant : http://support.microsoft.com/kb/929395


Au prix où ils le vendent leurs services ne serait-t-il pas de bon ton de les publier au moins via Windows Update non ? Sinon à quoi bon passer par une autorité de certification publique. J’ai dit une bêtise la ?

Laurent Teruin

 

 

Posted in Certificat-2010, Lync 2010 | 3 Comments »

Exchange 2010 SP2 RU1

Posted by Teruin laurent sur février 14, 2012


Bonjour

Microsoft vient de publier un correctif pour Exchange 2010 SP2. Qui corrige les problèmes suivants :

  • New updates for Dec DST – Exchange 2010 – SP2 RU1 – Display name for OWA.
  • 2616230 Exchange 2010 CAS server treats UTF-7 encoding NAMESPACE string from CHS Exchange 2003 BE server as ASCII, caused IMAP client fails to login.
  • 2599663 RCA crashes when recipient data is stored in bad format.
  • 2492082 Freebusy publish to Public Folders fails with 8207 event.
  • 2666233 Manage hybrid configuration wizard won’t accept domains starting with a numeral for FOPE outbound connector FQDN.
  • 2557323 « UseLocalReplicaForFreeBusy » functionality needed in Exchange 2010.
  • 2621266 Exchange 2010 Mailbox Databases not reclaiming space.
  • 2543850 Exchange 2010 GAL based Outlook rule not filtering emails correctly.

Vous pouvez le récupérez a l’adresse suivante : http://www.microsoft.com/download/en/details.aspx?id=28809

Bonne journée

Laurent Teruin

Posted in Exchange 2010 SP2, Mise-a-jour-2010 | Leave a Comment »