вторник, 27 июля 2010 г.

Переход с Exchange 2003/2007 на Exchange 2010

image

Если вам доводилось выполнять миграцию Exchange Server с предыдущих версий на новые, или вы планируете миграцию на Exchaneg 2010 с предыдущих версий, то вы будете рады узнать, что переход на Exchange 2010 стал гораздо проще благодаря помощнику по развертыванию Exchange Server 2010, который позволяет создавать инструкции по обновлению Exchange 2010 на основе ответов на рад вопросов.

Это в значительной мере облегчает и ускоряет переход на Exchange 2010, а так же снижает риск упустить чего-нибудь важное!

Воспользоваться помощником может каждый. Для этого нужно пройти по ссылке http://technet.microsoft.com/ru-ru/exdeploy2010/default.aspx#Home, выбрать сценарий миграции и ответить на ряд простых вопросов. После чего вы получите подробные инструкции по переходу на Exchange Server 2010. В помощнике все разбито на последовательные этапы. Инструкции снабжены скриншотами. А в случае необходимости получения дополнительных сведений вы сможете пройти по предоставленной ссылке на документацию TechNet.

По представленной выше ссылке вы получите доступ к русскоязычному помощнику. Те, кто предпочитает язык первоисточника, должны пройти по этой ссылке http://technet.microsoft.com/en-us/exdeploy2010/default.aspx#Home.

четверг, 1 июля 2010 г.

Дополнительная информация об учетной записи пользователя

Как известно учетная запись пользователя – это объект User в Active Directory. Как и любой объект он имеет свойства, которым присвоены значения. Например name, displayName и многие другие. Часть свойств пользователя мы можем увидеть открыв осн00000005астку Active Directory Users and Computers (ADUC), которой пользуются все системные администраторы. Да, часть свойств пользователя мы можем увидеть, но не все свойства. ADUC не отображает такие поля как SID, GUID, lastLogon и т.д. На самом деле от нас скрыта большая часть свойств. Наверно оно и правильно. Зачем нам все это? Тем более, что эти свойства можно увидеть через оснастку ADSIEdit. Но, во-первых, пользоваться ADSIEdit нужно с большой осторожность, во-вторых свойство-то мы увидим, а вот узнав значение свойства, не всегда понятно, что оно означает. Хорошим примером может служить свойство lastLogon. Оно отображает время последнего входа пользователя в систему. Но его значение отображает время в 100 наносекундных интервалах начиная с 1 января 1601 года. Например дата и время “01.07.2010 15:18:41” представлено следующим числом “129224583382353750”. Сложновато для восприятия, не так ли? ;)

Но есть отличное средство, которое расширит возможности ADUC и представит вам дополнительную информацию о пользователе в удобочитаемом виде. Это программная библиотека acctinfo.dll, которая входит в пакет под названием Account Lockout and Management Tools, о котором я писал ранее. Для того, чтобы воспользоваться этой библиотекой вам нужно загрузить пакет, распаковать его, взять оттуда файл acctinfo.dll, положить его в %systemroot%\system32, а затем выполнить в CMD команду regsvr32 acctinfo. Эта команда зарегистрирует данную библиотеку в системе. После этого запустите ADUC и откройте свойства пользователя. Вы увидите, что среди прочих закладок появилась новая - “Additional Account Info”. Как видите она отображает много дополнительных свойств, которые не было видно раньше. И все в удобочитаемом виде. Очень удобно! :-)

четверг, 10 июня 2010 г.

Требуется помощь читателей блога

imageДолгое время, работая над постами для блога, я размещал сопутствующие картинки на ресурсе http://ipicture.ru. На тот момент это было удобно. Но потом ресурс закрылся, а когда заработал вновь моя учетная запись на нем исчезла вместе со всеми картинками.

В результате большое количество постов, которые актуальны до сих пор, остались без картинок. Примером таких постов может быть один из популярных постов Инструкция по использованию ваучера на сдачу экзамена.

Обращаюсь к тем читателям, кто использует RSS-читалки, которые кэшируют картинки. Буду безмерно благодарен Вам за помощь в восстановлении картинок! Если среди читателей найдутся таковые, то связаться со мной можно написав письмо на адрес mdanshin@gmail.com или оставив свои координаты в комментариях к этом посту!

среда, 9 июня 2010 г.

Шифрованное сообщение, отправленное с Windows 7 через Outlook Web Access, не может быть прочитано в Windows XP

Сегодня мой коллега, Константин Семечкин, поделился очень интересной проблемой, с которой столкнулся один из его пользователей. Суть проблемы сводится к тому, что когда пользователь «Ж» отправляет шифрованное письмо пользователю «Н». Пользователь «Н» успешно открывает шифрованное письмо, и пишет ответ. Пользователь «Ж» получает письмо, но не может его прочитать. Outlook выдает сообщение об ошибке «не удается открыть элемент. системе безопасности не удается найти цифровое удостоверение».

В ходе дальнейшего разбирательства стало ясно, что пользователь «Ж» использует Outlook и работает в операционной системе Windows XP, а пользователь «Н» использует Outlook Web Access и работает в операционной системе Windows 7. Поначалу нам показалось, что эта информация не имеет отношение к проблеме, но тест показал, что если пользователю «Ж» отправить шифрованное сообщение из операционной системы Windows XP, при этом используя Outlook или OWA, то сообщение читается. А если отправить через операционную систему Windows 7, при этом используя OWA, то не читается. А если отправить из Windows 7 через Outlook, то читается.

В результате теста мы поняли, что проблема проявляет себя только в том случае, если из операционной системы Windows 7 отправляется шифрованное письмо через OWA, то оно не может быть прочитано из операционной системы Windows XP.

Из долгих бесед со своими коллегами, Сашей Станкевичем (MVP Security) и Вадимом Подансом (MVP PowerShell), я узнал много интересного о том, как на самом деле Outlook шифрует сообщение. Эти знания помогли мне, и Константину, провести диагностику проблемы.

Прежде чем приступать к диагностике, необходимо четко понимать алгоритм, который используется для шифрации письма. Что происходит, когда пользователь хочет отправить зашифрованное сообщение?

0. Пользователь А отправляет шифрованное эл. сообщение пользователю Б используя Outlook Web Access (OWA).

1. Создается ключ симметричного алгоритма шифрования, которым шифруется сообщение.

Ассиметричное шифрование очень медленное, поэтому большие объемы быстрее зашифровать симметричным ключом и передать ключ вместе с сообщением, предварительно зашифровав сам симметричный ключ. А вот симметричный ключ уже шифруется ассиметричным ключом. В честности публичным ключом получателя сообщения.

2. Публичный ключ получателя запрашивается в Active Directory.

Где взять публичный ключ получателя? В случае, когда отправитель и получатель находятся в одной организации, публичный ключ получателя запрашивается в Active Directory. Более подробную информацию, о том как происходит поиск и выбор публичного ключа, можно прочитать в этой статье Outlook S/MIME certificate selection (http://blogs.technet.com/b/pki/archive/2008/12/17/outlook-s-mime-certificate-selection.aspx) Если получатели находятся в разных организациях, то публичный ключ должен быть каким либо образом передан отправителю прежде чем он будет писать письмо.

3. Симметричный ключ шифруется публичным ключом получателя.

Кроме того, что симметричный ключ шифруется публичным ключом получателя он так же шифруется и публичным ключом отправителя, чтобы отправитель мог просматривать шифрованные письма в паке “Отправленные”.

4. Письмо отправляется получателю.

5. Получатель расшифровывает своим закрытым ключом симметричный ключ

6. При помощи симметричного ключа расшифровывается сообщение

image

И так у нас два подозреваемых. Либо проблема с закрытым ключом получателя, либо с симметричным ключом, которым зашифровано сообщение. Первый подозреваемый – закрытый ключ – имеет надежное алиби. Он многократно замечен в расшифровки других писем, которые были отправлены либо с Windows 7 через Outlook либо с Windows XP как через Outlook так через OWA.Таким образом, круг подозреваемых, сужается до одного симметричного ключа.

Что не так с симметричным ключом? Почему проблема возникает только при отправке через OWA и не возникает при отправке через Outlook? И почему только Windows 7? На эти вопросы нам с Константином только предстояло найти ответы.

Для начала мы задались вопросом – кто генерирует симметричный ключ, и какой алгоритм при этом используется? К сожалению четкого ответа на вопрос найти пока не удалось, но логика подсказывает, что когда сообщение отправляется через Outlook то именно Outlook генерирует симметричный ключ. В настройках Outlook так же можно выбрать алгоритм симметричного шифрования. А если используется OWA, то симметричный ключ генерирует либо сама Windows либо компонент S/MIME (Secure/Multipurpose Internet Mail Extensions), который, помимо прочего, и позволяет осуществлять шифрование писем в OWA. Мы предположили, что для генерации симметричного ключа Windows 7 или компонент S/MIME, использует алгоритм шифрования, который не поддерживает Windows XP.

Тогда возникает следующий вопрос. Как управлять процессом генерации симметричного ключа в случае использования OWA?

Ответа на этот вопрос дает статья «Управление S/MIME в Outlook Web Access», которую нашел Константин. Так же статья подтверждает наше предположение о том, что в Windows XP и Windows 7 используются различные и не совместимые алгоритмы генерации симметричных ключей.

Но давайте обо всем по порядку.

Для управления алгоритмом симметричного шифрования используется ключ реестра «EncryptionAlgorithms», который находится на Client Access Server (CAS) в подразделе «HKLM\System\CurrentControlSet\Services\MSExchange OWA\SMIME». В свойствах данного ключа можно задать порядок алгоритмов, который будет использовать OWA. По умолчанию данного ключа нет. В статье сказано:

При наличии ключа реестра всегда будут использоваться алгоритмы, указанные в ключе. Если ключа нет, Outlook Web App вернется к внутреннему списку по умолчанию. Список начинается с AES256 для компьютеров, на которых установлен Windows Vista, и с 3DES для компьютеров, на которых установлен Microsoft Windows XP.

Это подтверждает наше первое предположение о том, что в разных ОС используются разные алгоритмы шифрования. Далее в статье написано:

AES алгоритмы используются только в случае, если их поддерживает компьютер пользователя. AES не поддерживается в Windows XP, а сообщения, зашифрованные с использованием AES, не могут быть прочитаны на компьютерах с установленным Windows XP.

Что подтверждает наше второе предположение о том, что всему виной Windows 7.

Изменив значение реестра, и задав порядок алгоритмов шифрования такой, который поддерживал бы и Windows 7 и Windows XP мы, таким образом, решаем возникшую проблему.

четверг, 18 февраля 2010 г.

Осторожно - RSS!

По роду своей деятельности мне часто приходится подключать п/я пользователей и что-то с ними делать. Обычно для этого я даю себе права на п/я, создаю временный профиль Outlook, что-то делаю и отключаюсь. Делаю я все это со своей рабочей машины. Уверен, что таким же образом поступают многие системные администраторы. Так причем же тут RSS, спросите вы!? А вот причем...

Недавно один из сотрудников, с чьим ящиком я работал таким вот образом, подходит и говорит - "- У меня появилась странная папка - RSS. Не знаешь что это?". Я то конечно знал, что это за папка, но почему она появилась у него? Не понятно. Ну да ладно... У меня-то есть эта папка. Я использую RSS-ленты, подписан на многие блоги, а Outlook, для чтения RSS-лент, мне подходит больше чем другие программы. Я сказал, чтобы он просто удалил эту папку. Но тут он меня просто ошарашил! "- А там что-то есть - сказал он". Я сначала подумал, что там создались подписки "по-умолчанию", но решил взглянуть. Каково же было моё удивление когда я увидел, что у него в п/я ВСЕ мои подписки! Вот это новость. Ленты перекачивали к нему в п/я. Но еще больший ужас меня охватил в тот момент, когда я понял, что это, скорее всего, произошло со ВСЕМИ п/я которые я когда либо подключал! А это очень большое количество. Я решил проверить... Оправдались самые мои худшие ожидания. В нескольких ящиках, которые я ранее подключал, оказались мои ленты. Нет сомнений в том, что это затронуло все когда либо подключаемые п/я. Жесть!

Я пока не совсем понял почему это происходит. Коллега Arman Obosyan подсказал направление для поиска причин такого поведения. Мне еще предстоит в этом разобраться. Если кого-то заинтересовала данная проблема, то вот ключевые слова для поиска "Common Feed List".

понедельник, 8 февраля 2010 г.

TechNet Magazine опять на русском!

После длительного перерыва журнал Technet Magazine снова доступен на русском языке!

Данный журнал издается во всем мире. Доступен для скачивания из Internet. Так же на него можно подписаться и он будет приходить к вам по почте. С ноября 2006-ого года журнал издавался на русском языке. Я писал об этом в своем блоге. К сожалению с сентября 2008-ого, локализованная версия журнала перестала быть доступной для скачивания. Возможно это было связано с проблеммами в кодировке при распечатки из CHM файла. В результате распечатанная локализованная версия получалась не читаема. Я писал об этом на форуме Technet и после этого журнал перестал выходить в локализованных версиях. Так что возможно я был непосредственным виновником того, что все русскоязычное ИТ-сообщество лишилось такого замечательного журнала.

Теперь наши ожидания окончены. Начиная с этого года журнал будет доступен для просмотра на сайте Technet. На данный момент, в русском переводе, доступен ноябрьский номер журнала за 2009-й год. Но Microsoft обещает радовать нас локализованными версиями каждый месяц. Правда с небольшой задержкой. Но это естественно. Его же еще перевести нужно! С нетерпением жду перевода декабрьского номера. Он посвящен Exchange 2010.