Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

С Новым 2012 годом!!!

Вот и пролетел очередной 2011 год. Наверно по-своему этот год был хорош. Многое удалось сделать, многое познать. Надеюсь, следующий год будет не хуже текущего.

Как обычно хотел бы пожелать всем нам бесперебойной работы сети и серверов, хорошего начальства и адекватных пользователей.

Еще раз всех с новым годом и удачи в Новом году!!!

Реклама

30.12.2011 Posted by | неопознанное | 1 комментарий

Анализатор логов аля фильтр http\https трафика ISA\TMG.

Немного из истории…

В рамках последнего проекта нам так и не удалось перейти на ТМГ. Три раза полностью разворачивал ТМГ на виртуаках, два раза в продакшин среде, по разным причинам нам так и не удалось оставить данный продукт в эксплуатации (то сервер физически «умер», то после установки sp2 для ТМГ что-то пошло не так), наверно время еще не пришло. Поэтому на текущий момент решили остановиться на связке win2003std+isa2006std, что собственно и сделали.

Но все настроив мне в голову в очередной раз закралась мысль о том, как бы анализировать логи да и фильтровать сайты (этот механизм очень удачно реализован в продукте Kerio Control, подробней можно прочесть здесь: http://www.kerio.ru/ru/control), керио интересный продукт, но и он имеет свои недостатки, которые по прежнему заставляют отдать свое предпочтение продукту ISA\TMG, подробно можно прочесть, например, здесь: http://technet.microsoft.com/ru-ru/library/ff355324.aspx).

Прочитав массу форумов, статей и прочего материала в инете, пришел к неутешительному выводу, что НОРМАЛЬНОГО анализатора ЛОГОВ  аля фильтра http\https трафика  для ISA\TMG не существует.

В качестве кандидатов были выбраны следующие продукты:

1). SurfCop (http://www.redline-software.com/rus/products/surfcop/)

Неплохой продукт на первый взгляд, пока тестировали на 5ти пользователях все работало как часы, но запустив в продакшн среду на 150 пользователей ISA стала колом (точней не ISA а интернет, причина так и осталась неизвестной), мы были в шаге от приобретения лицензии, но вовремя одумались.

2). Internet Access Monitor (http://www.redline-software.com/rus/products/iam/)

Неплохая штука, но только анализатор логов и все. Резать сайты не умеет или у меня так и не получилось.

3) Traffic Inspector fof ISA server (http://www.smart-soft.ru/?page=tisol_other)

Не совсем понял, как в связке работают эти продукты, сложилось впечатление, что ISA работает сама по себе, а traffic inspector сам по себе. Как то не удовлетворим меня данный продукт.

4) Как вариант сама ISA, но в этом случае обязателен вариант использования прокси (например, 3128 или 8080) на клиентских машинах или использование клиента ISA, что практически то же самое. Неплохой вариант, я когда-то в 2004 версии пользовался им, но настройка  достаточно не гибкая и доги достаточно неинформативны. До сих пор не могу понять, что мешает в новой версии ТМГ сделать то же самое, что в Kerio, тогда цены бы не было данному продукту.

Уже почти отчаявшись, решил, наконец, попробовать еще один продукт

5) GFI Webmonitor 2009/2011 (http://www.gfi.ru/webmonitor)

На текущий момент данное решение показалось мне самым лучшим из всех вышеперечисленных продуктов. Прост в установке, прост в настройке отлично все логирует и режет сайты. Конечно и здесь я нашел для себя несколько минусов: цена вопроса, нет возможности ограничить скорость для айпишника, не показывает никак торренты (можно конечно жестко закрыть UDP, но это не очень хорошо для телефонии, об этом пожже), интернет радио, что собственно логично, если на ISA все пущены через NAT а не через PROXY, то для каждого айпишника придется создать свое правило, а если компов в сети много, то это не очень хорошо, ну прокси позволяет это исправить и пользоваться аутентификацией по пользователям и группам. Позволяет гибко настроить правила для различных пользователей или групп. В общем, триальный период эксплуатации пролетел на ура. На данный момент я склонен остановиться на данном продукте.

Ну и конечно же не стоит забывать о таком монстре как

6) SurfControl (http://surfcontrol.ru/products/web/)

 На мой взгляд, это конечно самый дорогой, но и самый интересный продукт. Большим недостатком является то, что поддержка данного продукта на сегодняшний день прекращена, и последняя версия 5.5 sp3 поддерживает только isa2006 и для TMG ее просто нет. На сегодняшний день я так и не приступил к тестированию данного продукта, обязательно планирую его прикрутить в следующем году.

В общем, выбор за вами.

Всем удачи в работе!!!

29.12.2011 Posted by | ms isa 2006 | Комментарии к записи Анализатор логов аля фильтр http\https трафика ISA\TMG. отключены

Microsoft Exchange Server 2010 Service Pack 2.

Итак, в этом месяце вышел ожидаемый всем администраторами почтовых систем Service Pack 2 для Exchange 2010. В данном обновлении содержится все те изменения, которые были выпущены с момента выхода Exchange 2010 SP1 (rollups 1 – 6), а также ряд новых возможностей и функций, наиболее интересные из которых:

  • Hybrid Configuration Wizard – мастер гибридной конфигурации
  • Cross-Site Silent Redirection для OWA – перенаправление клиентов OWA между серверами в разных сайтах
  • Address Book Policies – политики адресной книги, позволяющие ограничить доступ к ней
  • Изменения в технологии Mailbox Replication Server Proxy
  • Mailbox Auto-Mapping – автоматическое подключения Outlook ко всем ящикам
  • Cross-Site Silent Redirection для Outlook Web App
  • Мини версия Outlook Web App – для использования в мобильных телефонах и других устройствах
  • Multi-Valued Custom Attributes – 5 дополнительных пользовательских атрибутов, в каждом из которых может быть до 1300 параметров.
  • Litigation Hold – возможность запрета на удаление и отключение почтового ящика

Пакет обновлений Microsoft Exchange Server 2010 Service Pack 2, как это было реализовано в Exchange 2010 SP1 , является полноценной версией дистрибутива Exchange, в который включены 13  языков для серверной части и 66 языков клиентской части.  Дистрибутив Exchange 2010 SP2 можно использовать как для новых инсталляции сервиса, так и для обновления существующих и вам предварительно не нужно перед установкой Service Pack 2 удалять установленные ранее  Update Rollup.

 

Стоит также отметить, что для установки Exchange 2010 SP2 необходимо обновить схему Active Directory

Версия Exchange 2010  в SP2 – 14.2 (Build 247.5). Скачать Exchange 2010  SP2 можно здесь Microsoft Exchange Server 2010 SP2

Поговорим подробнее о наиболее интересных новинках, появившихся  в Exchange 2010  SP2.

Hybrid Configuration Wizard

Как вы, вероятно знаете, есть возможность объединения Exchange 2010 SP1 на собственном оборудовании с Office 365. В такой гибридной конфигурации, Office 365 и локально установленный Exchange  могут работать как одно целое. Причем при работе пользователи совершенно не будут видеть различий между размещением их ящиков на собственном оборудовании или в облаке. К сожалению, настройка такой гибридной конфигурации очень сложна, вся процедура занимала порядка 60 шагов, причем вероятность ошибиться или сделать что-то не так была достаточно высока.

Новый мастер Hybrid Configuration Wizard предназначен значительно упростить и автоматизировать  процесс построения гибридной конфигурации Exchange 2010.

При первом запуске мастер поможет создать доверие с сервером Microsoft Federation и позаботиться о необходимых сертификатах.

Для работы с мастером Hybrid Configuration, предварительно необходимо выполнить ряд условий

  • Необходимо установить и настроить DirSync
  • Нужно настроить публичный доверенный сертификат для служб Exchange 2010

Cross-Site Silent Redirection

Cross-Site Silent Redirection – это технология перенаправления OWA между CAS серверами расположенными в разных сайтах, без необходимости повторно вводить пароль.

В сценарии, когда два сервера Client Access Servers расположены в  разных сайтах AD, если пользователь попытается подключиться к «неправильному» серверу CAS, ему придется повторно вводить пароль при перенаправлении на нужный сервер CAS, что не очень удобно. Благодаря функции Cross-Site Silent Redirection, пользователь будет автоматически в скрытом режиме перенаправлен на верный CAS без необходимости повторной авторизации.

Чтобы эта функция работала необходимо выполнение  следующих условий:

  • На обоих серверах CAS должна быть включена Form Based Authentication (to have SSO experience)
  • Оба сервер CAS должны иметь настроенный ExternalURL

Стоит ответить, что по-умолчанию функция скрытого перенаправления между сайтами отключена. Чтобы активировать ее, нужно выполнить следующий командлет:

Set-OWAVirtualDirectory –Identity “company\owa(default web site)” – CrossSiteRedirectType Silent

Политики адресной книги – Address Book Policies (ABP)

Новая функция Address Book Policies  позволяет  легко разделить список всех адресов на несколько частей так, чтобы разные группы пользователей видели разные списки адресов в глобальной адресной книге GAL.

Политики адресной книги (ABP) можно настроить с помощью нового мастер Address Book Policy Wizard или же средствами PowerShell (команда New-AddressBookPolicy).

Изменения в Mailbox Replication Service Proxy

Включить MRS Proxy  необходимо, если вы хотите выполнить cross-forest перенос почтового ящика (например, в гибридной конфигурации Exchange 2010 и Office 365 Hybrid Deployment). Раньше, если вы вносили изменения в MRSProxy, нужно было отредактировать файл web.config, хранящийся в папке  Exchange 2010:

И хотя это действие выполнялось не так уж и часто, оно было достаточно хлопотным. Теперь Microsoft решила добавить возможность менять этот параметр с помощью PowerShell:

По-умолчанию, MRSProxy отключен. Чтобы включить его, воспользуйтесь следующей командой PowerShell:

Set-WebServicesVirtualDirectory –Identity “EWS (Default Web Site)” –MRSProxyEnabled $true

Автоматическое монтирования почтовых ящиков (Automapping of Mailboxes)

Если пользователь имеет полный доступ (Full Access) к ящику другого пользователя, этот ящик автоматически подключается у пользователя в конфигурации Outlook. Включить или отключить автомонтирование можно с помощью следующей командой:

Add-MailboxPermission –AutoMapping $true/$false
Подробней здесь: http://blogs.technet.com/b/rupts/archive/2011/07/12/sp2.aspx
Всем удачного просмотра.



26.12.2011 Posted by | ms exchange 2010 | Комментарии к записи Microsoft Exchange Server 2010 Service Pack 2. отключены