IT-блог компании "ЛанКей"

Не так давно нашими специалистами проводился аудит кластерной open-source системы, предназначенной для обеспечения высокой доступности сервисов телекоммуникационной компании. Физически система представляет собой 2 блэйд-сервера, соединенных через 2 коммутатора Cisco с использованием агрегированных сетевых интерфейсов. Бывший системный администратор этой организации решил использовать для достижения своих целей свободный аналог ОС RedHat – CentOS и монитор виртуальных машин Xen. В связи с отсутствием сети хранения данных, им был выбран путь репликации файловых систем виртуальных машин на физические машины посредством GlusterFS. Про саму задумку ничего плохого сказать не могу, разве что не известно как поведет себя живая миграция доменов Xen. Но когда мы выяснили, что работа не была доведена до конца: виртуальные машины работают на одном узле, автоматическая репликация не настроена, второй узел полностью простаивает, я предложил пересобрать эту конструкцию.

Читать далее…

Во время работы с библиотеками SharePoint 2007 из Office 2007, запущенном из-под Windows 7, могут возникать проблемы с сохранением документов в библиотеку документов SharePoint – точнее, проблемы с отображением в диалоге сохранения содержимого библиотеки SharePoint.

Например, если зайти в окно библиотеки документов, и выбрать пункт «Создать документ», а затем попытаться сохранить его, то откроется следующее окно:

Место сохранения по умолчанию будет выбрано – папка «Мои документы». В списке папок слева не будут показаны билбиотеки SharePoint, и при попытке ручного ввода адреса http://шарепойнт/имя_библиотеки/ отображаться библиотека также не будет, а выведется следующее окно:

При этом, если открыть существующий документ из SharePoint и сохранить его, либо указать в имени файла полный путь с именем – например, http://шарепойнт/имя_библиотеки/файл.docx, то сохранение произойдет. То есть, имеется проблема с отображением web-папок.

Решение: нужно выполнить следующих два шага:

Скачать и установить обновление Microsoft для web-папок по адресу http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=17c36612-632e-4c04-9382-987622ed1d64 (ссылка дана для русского Office, в случае других языков необходимо выбрать нужный). Не обращайте внимания, что в списке предназначенных операционных систем указаны только Windows XP и Windows 2003 – именно это обновление и нужно устанавливать на Windows 7.

Затем, установить для ярлыка вызова Microsoft Word в меню «Пуск» настройку совместимости «Запускать в режиме совместимости – Windows XP с пакетом обновления 3″. Только в этом случае окно сохранения документов изменится в стиле Windows XP и будет отображать библиотеки SharePoint:

Как уже некоторые из вас знают Exchange Server 2010 позволяет отправлять и принимать SMS прямо из Microsoft Outlook или Outlook Web App (OWA). Но не все знают, как это настроить, или думают, что в России это не работает, т.к. не поддреживается сотовыми операторами. На самом деле это не так!

Читать далее…

Как известно, Office Communications Server 2007 R2 всю свою информацию хранит в Active Directory, и при развертывании он изменяет лес AD – расширяет схему, создает новые атрибуты пользователей. Бывают случаи, когда изменение схемы Active Directory основного леса нежелательно – а тем не менее, развернуть и использовать OCS надо, и хочется использовать все прелести объединенных коммуникаций.

Для решения такой задачи существует специальное развертывание Office Communications Server, называемое развертыванием в ресурсном лесу (resource forest). Это значит, что параллельно с существующим у нас основным лесом и доменом мы можем развернуть совершенно отдельный лес, в котором и будет располагаться OCS. Это решение поддерживается Microsoft и описано в паре англоязычных документов, ну а чтобы не отсылать читателя к ним, мы расскажем по-русски, как это сделать.

Пусть у нас есть некий основной домен с пользователями, называющийся например mycompany.ru. Соответственно, пользователи имеют e-mail-адреса логин@mycompany.ru, пользуются Outlook’ом, Exchange (неважно каким, но лучше конечно 2007/2010 ).

Развертывание OCS в ресурсном лесу будет состоять из следующих шагов:

1. Развертывание отдельного леса, с именем например myocs.local
2. Установка доверия между доменами
3. Развертывание OCS в лесу myocs.local
4. Создание в этом лесу учетных записей-заглушек для пользователей основного домена
5. Наслаждение работой с объединенными коммуникациями Microsoft

Читать далее…

Использование только логина и пароля для аутентификации пользователя не всегда может быть надежным. Пароль может оказаться простым и быть подобран или подсмотрен; достаточно сложно вовремя понять, что пароль пользователя раскрыт и известен кому-либо другому, кроме его владельца.

Для обеспечения более сильной защиты применяется так называемая многофакторная аутентификация – то есть, аутентификация из нескольких шагов. Отличным примером средства многофакторной аутентификации являются смарт-карты, или другие устройства, схожие со смарт-картами, например, USB-ключи eToken.

Несомненное достоинство ключа eToken перед смарт-картой – он не требует специального считывателя, а просто вставляется в свободный порт USB.

Аутентификация по смарт-карте или ключу может использоваться при входе в Windows, при подключении к VPN или RDP, при подключении к Outlook Web App.

Требуется только, чтобы на компьютере пользователя находился драйвер для смарт-карт или USB-ключей.

Например, при входе в Outlook Web App – вместо окна ввода логина и пароля выводится запрос на выбор сертификата:

В смарт-карту или ключ может быть загружено несколько сертификатов, при этом один из них помечается как используемый по умолчанию. Некоторые программы – например Internet Explorer – позволяют выбрать нужный из всех найденных в смарт-карте сертификатов. Другие программы – например, клиент удаленного рабочего стола – не позволяют выбрать сертификат – выбирается только указанный по умолчанию.

Выбрав сертификат, пользователю необходимо ввести лишь пин-код для доступа к смарт-карте или USB-ключу. И – все, авторизация пройдена! Таким образом, смарт-карта является полной заменой логину и паролю, используемому при обычной аутентификации.

Использование смарт-карты при аутентификации на рабочую станцию в Windows регулируется групповой политикой, и так же политикой регулируется поведение системы при убирании смарт-карты из считывателя (или USB-ключа из порта). Система может никак не реагировать на вытаскивание смарт-карты, может автоматически блокировать (Lock) сеанс пользователя до установки смарт-карты обратно, и может завершать (Logoff) сеанс пользователя.

Несомненная польза смарт-карты в том, что аутентификация с ее помощью является многофакторной – требуется предоставить «что-то, что мы имеем», то есть саму смарт-карту, и «что-то, что мы знаем», то есть пин-код к ней. И к тому же, в отличие от просто пароля, утрату смарт-карты или ключа обнаружить гораздо легче, чем  факт разглашения пароля. По факту утраты можно вовремя принять меры по отзыву сертификатов и запрета их использования для аутентификации.

Прошло не так много времени, после того, как компания Pastware выпустила утилиту для взлома BitLocker, и вот новая сенсация: Буквально вчера компания Pastware объявила о выпуске утилиты для взлома протокола ActiveSync.

Читать далее…

По многочисленным просьбам пользователей, Microsoft наконец-то одобрил перенос OEM лицензий с одного компьютера на другой. Так, приобретая новый компьютер с предустановленной версией операционной системы Windows, на корпус компьютера наклеивается наклейка с ключом продукта, подтверждающая его лицензионность. Отклеить наклейку невозможно (она рвётся).

Читать далее…

Как известно, почти все люди испытывают страх к тем или иным вещам или событиям. Уже достаточно давно страхи или фобии были классифицированы и упорядочены. С ними можно ознакомиться, например здесь: http://ru.wikipedia.org/wiki/Список_фобий

Читать далее…

Недавно один из наших заказчиков попросил оптимизировать установку автоматических обновлений через WSUS сервер. Он хотел, чтобы все обновления устанавливались только, когда пользователи не работают за компьютером. При этом все пользователи, уходя домой выключают компьютеры (это и привычка и требования пожарной безопасности). Т.е. для автоматической установки обновлений требовалось каким-то образом обеспечить автоматическое включение компьютеров и затем их автоматическое выключение.

Читать далее…

Столкнулись с проблемой: перестали доставляться сообщения голосовой почты, отправленные пользователям Exchange через Unified Messaging. В журнале событий при этом повторяются следующие ошибки:

Source: MSExchange Unified Messaging
Event ID: 1185
Task Category: UMCore
The Unified Messaging server failed to submit a message to Hub Transport server 'EXCHANGE' due to the following error: Unexpected server response. Expected: 220, actual: 500, whole response: 500 5.3.3 Unrecognized command

Source: MSExchange Unified Messaging
Event ID: 1423
Task Category: UMCore
A pipeline stage encountered the following error. Details : 'Microsoft.Exchange.UM.UMCore.SmtpSubmissionException: Submission to the Hub Transport server failed. The operation will be retried. ---> Microsoft.Exchange.Net.ExSmtpClient.UnexpectedSmtpServerResponseException: Unexpected SMTP server response. Expected: 220, actual: 500, whole response: 500 5.3.3 Unrecognized command

   at Microsoft.Exchange.Net.ExSmtpClient.SmtpTalk.CheckResponse(ServerResponseInfo response, Int32 expectedCode)
   at Microsoft.Exchange.Net.ExSmtpClient.SmtpTalk.Command(SmtpChunk[] chunks, SmtpCommandType command, Int32 expectedCode)
   at Microsoft.Exchange.Net.ExSmtpClient.SmtpTalk.StartTls()
   at Microsoft.Exchange.Net.ExSmtpClient.SmtpClient.Submit()
   at Microsoft.Exchange.UM.UMCore.SmtpSubmitStage.SubmitMessage()
   at Microsoft.Exchange.UM.UMCore.SmtpSubmitStage.InternalDoSynchronousWork()
   --- End of inner exception stack trace ---

Server stack trace:
   at Microsoft.Exchange.UM.UMCore.SmtpSubmitStage.HandleTransientSmtpFailure(Exception e, InternalExchangeServer smtpServerToUse)
   at Microsoft.Exchange.UM.UMCore.SmtpSubmitStage.InternalDoSynchronousWork()
   at System.Runtime.Remoting.Messaging.StackBuilderSink._PrivateProcessMessage(IntPtr md, Object[] args, Object server, Int32 methodPtr, Boolean fExecuteInContext, Object[]& outArgs)
   at System.Runtime.Remoting.Messaging.StackBuilderSink.AsyncProcessMessage(IMessage msg, IMessageSink replySink)

Exception rethrown at [0]:
   at System.Runtime.Remoting.Proxies.RealProxy.EndInvokeHelper(Message reqMsg, Boolean bProxyCase)
   at System.Runtime.Remoting.Proxies.RemotingProxy.Invoke(Object NotUsed, MessageData& msgData)
   at Microsoft.Exchange.UM.UMCore.SynchronousPipelineStageBase.SynchronousWorkDelegate.EndInvoke(IAsyncResult result)
   at Microsoft.Exchange.UM.UMCore.SynchronousPipelineStageBase.EndSynchronousWork(IAsyncResult r)'

Роли Hub Transport и Unified Messaging находятся на одном и том же сервере, но тем не менее, голосовое сообщение, оставленное пользователем, в ящик получателя не попадает.

Из приведенных ошибок видно, что при попытке установления SMTP-соединения служба Hub Transport выдает ответ, что команда не распознана. По подробной информации видно, что ошибка возникает в процессе работы процедуры StartTls, то есть имеет место быть неудачная попытка установки шифрованного соединения.

Ошибка возникла из-за следующей тонкости:

Сам сервер внутри сети называется EXCHANGE.имя-домена. А опубликован в Интернет он под именем MAIL.имя-домена. Соответственно, в процессе настройки в Receive Connector захотелось внести изменения, чтобы при подключении сервер отвечал не своим внутренним именем, а внешним, отличающимся от внутреннего. Но – при несовпадении FQDN, предоставляемого в ответ на HELO или EHLO, и системного имени сервера, отказывается работать включенная по умолчанию аутентификация Exchange Server authentification. Соответственно, эта галочка и была выключена.

А если выключена Exchange Server authentication – то в ответ на команду EHLO сервер в списке допустимых команд НЕ ВЫВОДИТ команду X-ANONYMOUSTLS, и не отвечает на нее. А службы Unified Messaging пытаются установить соединение с Hub Transport именно этим способом.

Решение: в нашем случае помогло включение обратно пункта Exchange Server authentication, смена выдаваемого FQDN в окне Receive Connector обратно на внутреннее имя сервера, и перезапуск служб MSExchange Hub Transport и MSExchange Unified Messaging.

После перезапуска служб голосовые сообщения, ожидающие своей доставки пользователям, были им доставлены в ящик автоматически.