Qué? RBAC? Qué #@!!-?!% es eso??? Aunque ahora mismo nos suene a chino RBAC es una de las grandes novedades de Exchange 2010, Role Based Access Control
Primero vamos a centrar un poco el tema. RBAC es el nuevo modelo de permisos de administración de Exchange 2010. En versiones anteriores con el fin de facilitar la administración se introdujeron distintos roles basados en opciones de seguridad para ejecutar ciertas tareas. Estos roles se aplicaban a nivel de la organización o a nivel de los grupos administrativos. Con Exchange 2007 se ampliaron pero aún así no guradaban relación con la estructura de la compañía, es decir, en muchas ocasiones los administradores que crean cuentas de usuarios no son las mismas personas que administran los buzones. Para intentar corregir esas carencias y dar mayores posibilidades llega RBAC. Esto es lo que podremos hacer con RBAC:
- Roles de administración basados en tareas
- Roles personalizables
- Podemos definir el ámbito de un determinado role para limitarlo a objetos específcos.
- RBAC está controlado a nivel de la organización, independientemente de la forma que estemos intentando acceder
- También llega al detalle de las tareas que puede ejecutar, incluso de los parámetros de dichas tareas!
- Finalmente comentar que puede auditarse y crear reportes de forma que sabremos quién ha accedido a un objeto y qué acciones ha realizado
RBAC intenta ayudar a los administradores a specificar el control de acceso en términos de la estructura interna de la compañía y lo consigue creando un nuevo objecto llamado ROLE. Lo que hacemos es asignar roles a los usuaios (no son sólo usuarios pero teniendo esa imagen es más fácil de entender) para que pueda ejecutar una determinada tarea. Es decir, el role se utiliza para definir los permisos sobre un determinado conjunto de recursos. Utiliza un modelo de quién (usuario), qué (role administrativo) y dónde (el ámbio sobre el que tendremos permisos). Está compuesto por:
- Management Role : Define los comandos de Exchange disponibles que se podrán ejecutar
- Management Role Assignment: Es la relación entre el Management Role definido y el usuario, grupo universal (USG) sobre el que se aplica el Role o Assignment Policy que define sobre quén tendrá efecto el role.
- Role Group: Es un grupo de seguridad universal que simplifica la assignación de roles a grupos de usuarios.
- Role Assignment Policy: Se utiliza para facilitar la asignación de roles a usuarios finales.
- Management Scope :Utilizado para definir dónde tendremos control
En el siguiente enlace podéis encontrar todos los detalles:
Understanding Role Based Access Control
http://technet.microsoft.com/en-us/library/dd298183(EXCHG.140).aspx
Espero que haya quedado un poco más claro :)
Saludos,
Pablo
Hola a tod@s!
Esta semana me encuentro en Francia, empezando a ver los detalles de Exchange 2010. Qué puedo decir... IMPRESIONANTE!!! trae numerosas mejoras y cambios, la adaptación, como con cualquier producto nuevo llevará un poco de tiempo pero iremos poniendo información para poder ayudaros. En cualquier caso, hoy no voy a hablar de Exchange 2010, voy a comentaros qué son las Named Properties. Es el método utilizado por Exchange para asignar un ID específico a propiedades MAPI. De esta forma se permiten extender las propiedades MAPI estándar para facilitar que el software de terceros pueda registrar sus propias propiedades. El rango de IDs de propiedades MAPI va desde 1 hasta 0xffff. Las propiedades MAPI estándar van desde 1 a 0x8000, por lo que el rango de IDs para las Named Properties es muy elevado. El problema que nos encontramos con estas propiedades es que el tamaño de las bases de datos disponible para guardar la relación de IDs es un espacio finito y puede llegar a llenarse y puede llegar a impactarnos en el envío/recepción de los correos.
When named property IDs become exhausted, Outlook cannot map a named property. In this scenario, you may experience symptoms that resemble the following:
- Event IDs 9666 and 9667 are logged in the Application log. For more information, see Events 9666, 9667, 9668, and 9669 Received When Named Properties or Replica Identifiers Are Depleted for An Exchange Database http://technet.microsoft.com/en-us/library/bb851495.aspx.
- Messages that contain properties that cannot be mapped are not delivered. When you examine the message tracking information for an affected message, you notice information that resembles the following:
550 5.2.0 STOREDRV.Deliver: The Microsoft Exchange Information Store service reported an error.
- When an add-in that adds named properties or X-headers to messages is installed in Outlook, certain messages may not be sent to other users in the organization. In this scenario, the sending user receives a non-delivery report (NDR) that resembles the following:
The message reached the recipient's e-mail system, but delivery was refused. Attempt to resend the message. If it still fails, contact your system administrator.
Para corregir el problema es necesario incrementar los límites de almacenamiento al máximo. El tamaño máximo total es muy pequeño en comparación con la cantidad de capacidad de almacenamiento que tenemos en la actualidad por lo que el tamaño de nuestras bases de datos permanecerá prácticamente igual. Añadir también que es posible limpiar las relaciones de IDs pero es un procedimiento más intrusivo y el problema volvería a aparecer en poco tiempo ya que el tamaño por defecto es bastante bajo. En el siguiente enlace están los pasos sobre los cambios que necesitamos realizar:
How to Configure Named Properties and Replica Identifier Quotas for Exchange 2007 Databases
http://technet.microsoft.com/en-us/library/bb851493.aspx
Para limpiar los IDs deberéis seguir los pasos descritos en este otro artículo:
Events 9666, 9667, 9668, and 9669 Received When Named Properties or Replica Identifiers Are Depleted for An Exchange Database
http://technet.microsoft.com/en-us/library/bb851495.aspx
Información adicional:
Understanding the Impact of Named Property and Replica Identifier Limits on Exchange Databases
http://technet.microsoft.com/en-us/library/bb851492.aspx
También hay algún cambio con el Service Pack 2 de Exchange 2007:
Service Pack 2 Preview: Get-NamedProperty
http://msexchangeteam.com/archive/2009/08/06/451948.aspx
Saludos desde París!
Pablo
Este fin de semana se ha actualizado el Articulo KB974571 en la que se incluye una descarga de un fichero para solucionar los problemas que tenemos si actualizamos nuestros servidores de OCS / LCS con el update “MS09-056: Vulnerabilities in CryptoAPI could allow spoofing”, como bien nos habéis comentado.
http://support.microsoft.com/default.aspx?scid=kb;EN-US;974571
Resolution for the known issue
A fix that resolves this issue is available for download from the Microsoft Download Center. To obtain the fix, visit the following Microsoft Web page:
http://go.microsoft.com/fwlink/?LinkId=168248 (http://go.microsoft.com/fwlink/?LinkId=168248)
The fix (OCSASNFix.exe) is governed by the Microsoft Software License Agreement for Office Communications Server 2007 R2, Office Communications Server 2007, Live Communications Server 2005, Office Communicator 2007 R2, Office Communicator 2007, and Office Communicator 2005.
This fix works for both clients and servers, and it is applicable to the following roles for all versions of Office Communications Server and Live Communications Server 2005 SP1 and for evaluation versions of Office Communicator:
- Standard Edition Server
- Director server role
- Enterprise Edition Consolidated
- Enterprise Edition Distributed – Front End
- Edge Server
- Proxy server role
- Office Communicator 2007 Evaluation version only
- Office Communicator 2007 R2 Evaluation version only
- Office Communicator 2005 Evaluation version only
To run the fix, type the following command at a command prompt, and then press ENTER:
ocsasnfix.exe
When you run the command on a computer that is running Office Communication Server 2007, Office Communication Server 2007 R2, or Live Communications server 2005 Service Pack 1, you receive a message that resembles the following:
Checking OCS/LCS Server installation...Fixing registry data
Checking Office Communicator 2007 Eval installation...not installed.
Checking Office Communicator 2005 Eval installation...not installed.
When you run the command on a computer that is running an evaluation version of Office Communication Server 2007, Office Communication Server 2007 R2, or Live Communications server 2005, you receive a message that resembles the following:
Checking OCS/LCS Server installation...not installed.
Checking Office Communicator 2007 Eval installation...Fixing registry data
Checking Office Communicator 2005 Eval installation...not installed.
This fix can be applied either before or after you install security update 974571. If you apply the fix after you install security update 974571, we recommend that you apply the fix before you restart the computer. If you already restarted the computer after you installed security update 974571, this fix can still be applied. However, the Office Communication Services must be started manually.
If all services start without any issues, this indicates that this fix has been applied and is working correctly.
This fix sets the OCSASNFIX DWORD value to 1 for the following registry subkey on the OCS 2007/R2 and LCS 2005-SP1 Server:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RtcSrv\InstallInfo\OCSASNFIX
Muchas gracias.
Javi.
Hemos detectado problemas cuando instalamos esta actualización en servidores que tengan instalado OCS o LCS:
MS09-056: Vulnerabilities in CryptoAPI could allow spoofing
http://support.microsoft.com/kb/974571/en-us
Dando los siguientes eventos:
OCS
Log Name: Office Communications Server
Source: OCS Server
Date: Date
Event ID: 12290
Task Category: (1000)
Level: Error
Keywords: Classic
User: N/A
Computer: Computer
Description:
The evaluation period for Microsoft Office Communications Server 2007 R2 has expired. Please upgrade from the evaluation version to the full released version of the product.
Log Name: Office Communications Server
Source: OCS Server
Date: Date
Event ID: 12299
Task Category: (1000)
Level: Error
Keywords: Classic
User: N/A
Computer: Computer
Description:
The service is shutting down due to an internal error.
Error Code: C3E93C23 (SIPPROXY_E_INVALID_INSTALLATION_DATA)
Cause: Check the previous entries in the event log for the failure reason.
Resolution:
Check the previous event log entries and resolve them. Restart the server. If the problem persists, contact Product Support Services.
LCS
Event Type: Error
Event Source: Live Communications Server
Event Category: (1000)
Event ID: 12290
Date: Date
Time: Time
User: N/A
Computer: Computer
Description:
The evaluation period for Microsoft Office Live Communication Server 2005 has expired. Obtain the released version of this product and upgrade to the non-evaluation version by running setup.exe.
De momento para solucionar el problema tenemos que desinstalar el Fix KB974571.
Se esta trabajando en solucionar el problema, cuando tengamos más noticias las publicaremos aquí.
Muchas gracias.
Javi.
Hola a tod@s!
En esta ocasión este post no es puramente de Exchange pero creo que muchos de vosotros lo vais a agradecer. En muchas ocasiones nos habéis realizado preguntas sobre cómo actualizar el Schema de Directorio Activo para poder desplegar Exchange o uno de sus Service Packs. Con otros productos tenemos el mismo problema, es necesario actualizar el schema y siempre queremos tenerlo controlado para evitar cualquier fallo. A continuación os relato los pasos que debemos seguir para actualizar el schema con Exchange 2007 (válidos también para Service Packs y otros productos):
· Recomendamos realizar la extensión directamente en el Schema Master mediante la herramienta apropiada de Exchange (Setup de Exchange con el modificador correspondiente /PrepareSchema)
· Antes de extender el esquema recomendamos tener un System State Backup reciente del Schema Master. Es necesario también hacer un backup adicional de la CA en caso de que exista una en la infraestructura. Esta acción puede realizarse desde la consola de la entidad certificadora, clic con el botón derecho, opción backup. En el siguiente artículo hay información detallada sobre cómo cómo realizar el backup de la CA:
298138 How to move a certification authority to another server
http://support.microsoft.com/default.aspx?scid=kb;EN-US;298138
· El usuario que lleve a cabo la tarea debe ser miembro del grupo Schema Admins y Enterprise Admins.
· Para identificar qué servidor tiene el rol de Schema Master ha de usarse el comando "netdom query fsmo"
Debemos chequear la replicación en los partners de replicación directos del Schema Master con el comando Repadmin /Showrepl. Si se detectan errores, no se debe continuar, han de corregirse los problemas en AD antes de realizar ninguna acción sobre el esquema.
Pasos para extender el Schema:
1. Verificar que se cumplen los requisitos de Exchange 2007 según el siguiente artículo:
http://technet.microsoft.com/en-us/library/aa996719(EXCHG.80).aspx -> RTM
http://technet.microsoft.com/en-us/library/bb629489.aspx -> SP1
http://msexchangeteam.com/archive/2009/08/28/452209.asp -> SP2
2. Asegurar que la replicación se realiza correctamente tal y como se indica anteriromente (Repadmin /Showrepl).
3. Realizar los backups indicados anteriormente (System State Backup y de la CA en caso de que exista)
4. Deshabilitar la replicación de entrada y de salida en el Esquema Master mediante estos comandos:
a. REPADMIN /OPTIONS NombreSchemaMaster +DISABLE_INBOUND_REPL
b. REPADMIN /OPTIONS NombreSchemaMaster +DISABLE_OUTBOUND_REPL
5. Preparar el schema según los siguientes artículos (deberemos tener en cuenta si hay algún prerequisito específico y ejecutar el setup con el modificador prepareSchema):
How to Prepare Active Directory and Domains
http://technet.microsoft.com/en-us/library/bb125224(EXCHG.80).aspx
White Paper: Preparing Active Directory for Exchange 2007
http://technet.microsoft.com/en-us/library/bb288907(EXCHG.80).aspx
Exchange 2007 Service Pack 2 Prerequisites
http://msexchangeteam.com/archive/2009/08/28/452209.aspx
6. Verificar que la operación se ha realizado con éxito. Abrir ADSIEdit.msc y verificar el valor del atributo rangeUpper del objeto ms-Exch-Schema-Version-Pt. Para Service Pack 2 tendremos el valor de 14622, para Service Pack 1 es 11116 y para la versión RTM es 10637. También necesitaremos revisar el log de setup de Exchange para una mayor seguridad (ExchangeSetup.log ubicado en la carpeta C:\ExchangeSetupLogs por defecto)
.gif)
7. Si todo ha ido bien volver a habilitar la replicación:
a. REPADMIN / OPTIONS NombreSchemaMaster -DISABLE_INBOUND_REPL
b. REPADMIN / OPTIONS NombreSchemaMaster -DISABLE_OUTBOUND_REPL
8. Tras volver a habilitar la replicación, podemos o bien dejar que la replicación se lleve a cabo “por sí sólo” o podemos forzar la replicación hacia fuera desde esta máquina con el siguiente comando:
Repadmin /syncall /e /P NombreServidorSchema CN=Schema,CN=Configuration,DC=<Domain>,DC=<com>
9. Debemos chequear la replicación en los partners de replicación directos del Schema Master con el comando Repadmin /Showrepl.
Si se produce cualquier tipo de problema:
1. Reiniciar el Schema Master en modo de recuperación del DA (DSRM) y restaurar un backup de System State.
2. Arrancar en modo normal y deja que el equipo “vuelva al día” mediante la replicación.
Caso Extremo
· En el peor de los casos, si detectásemos problemas en el Schema una vez extendido y propagados los cambios entre los DCs del bosque, habría que recuperar un System State Backup de TODOS los DCs del bosque anterior a la extensión del Esquema.
Añadir que con la extensión de Schema Service Pack 2 de Exchange 2007 ya podremos empezar a añadir servidores de Exchange 2010 en nuestra organización!
Saludos,
Pablo
Si habéis desplegado OCS en vuestra organización y habéis configurado un servidor EDGE y el acceso desde fuera de la organización con el cliente de Communicator no os funciona os recomendamos que vayáis a esta URL en la que podréis probar el acceso desde fuera, os dara una idea del problema que podemos tener, es Beta todavía.
Microsoft OCS Remote Connectivity Analyzer.
Saludos.
Javi.
Continuamos con los post que hacen referencia a Office Communicator Server 2007, hace poco se ha publicado una nueva actualización de los documentos de la versión de OCS 2007 R2. Uno de los documentos que se ha publicado y viene muy bien es el referente a los certificados.
Os recomendamos que cuando vayáis a desplegar OCS reviséis este documento:
OCS 2007 R2 Deploying Certificates.doc
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e9f86f96-aa09-4dca-9088-f64b4f01c703
En esta URL podéis encontrar todos los documentos sobre OCS 2007 R2.
Javi.
Ya tenemos disponibles las actualizaciones del “Language Packs” para Exchange 2007 Sp2. Aquí os dejamos los enlaces tanto para la versión de 32 como la de 64.
Microsoft Exchange Server 2007 Service Pack 2 Unified Messaging Language Packs
32-bit: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=735518c5-acb1-4f9d-a973-80695dd0913e#filelist
64-bit: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9eb9725a-affc-4051-99c7-1936e8c21031
Saludos. Javi.
Hola a todos,
nuestros compañeros de LATAM disponen de un blog con gran cantidad de información técnica sobre distintas tecnologías (Windows, Exchange, Outlook, ....) y en varios idiomas además del castellano, como el portugués. Os recomiendo que le echéis un vistazo, este es el link: http://blogs.technet.com/latam
Estamos sincronizando esfuerzos para, en la medida de lo posible, no duplicar contenido, por lo que en ocasiones encontraréis referencias al blog anterior y viceversa.
Esperamos que esta iniciativa os sea de gran utilidad. Ese es el objetivo ;-)
Hola a tod@s!
Durante mucho tiempo hemos tenido peticiones para poder modificar los mensajes de respuesta del sistema. En esta ocasión vamos a ver cómo manejar los mensajes de límite de tamaño de los buzones. En el siguiente enlace podéis descargaros la herramienta que va a incorporar dicha funcionalidad:
Microsoft Exchange Server Quota Message Service
http://www.microsoft.com/downloads/details.aspx?FamilyId=EB52F6AB-E07A-476C-B32B-145AF6EA970C&displaylang=en
Una vez descargada deberemos seguir los pasos que se describen a continuación para poder configurar el servicio:
The Microsoft Exchange Server Quota Message Service
http://technet.microsoft.com/en-us/library/bb508861(EXCHG.65).aspx
- Crear una cuenta en Directorio Activo que será la que ejecute la herramienta. Esta cuenta necesita tener un buzón en el servidor en el que se instale.
- Dar permisos de Control Total a la cuenta de SYSTEM a nivel del Mailbox Store en el que se encuentra el buzón de la cuenta de Exchange Quota Service así como directamente sobre la cuenta, desde la consola de Active Directory Users and Computers, en las propiedades del usuario, dentro de la pestaña de seguridad.
- Instalar la herramienta y modificar las claves de registro según el artículo comentado anteriormente, reiniciar el servicio Information Store e iniciar Exchange Quota Service.
- Crea un perfil de Outlook para la cuenta de Exchange Quota Service.
- Abre el fichero PST quotamsg.pst que se ha creado durante la instalación en el servidor y copia la carpeta QuotaMessages directamente en el buzón de dicha cuenta, colgando directamente de la carpeta principal del buzón, al mismo nivel que la bandeja de entrada, elementos eliminados, etc.
- Personaliza los mensajes, configura las tareas de mantenimiento y realiza pruebas.
Una vez tengamos todo configurado sólo faltaría iniciar el servicio manualmente. Posteriormente no es necesario volverlo a iniciar ya que lo hace de forma automática junto con el Information Store.
Un saludo!
Pablo
Hola a tod@s!
Bueno, mi nombre es Pablo García, al igual que Inma y Ángel pertenezco al grupo de soporte de Exchange de Microsoft aunque llevo un poquito menos por aquí :-P. En total llevo dos años sólo pero han sido muy intensos. La verdad es que desde aquí tenemos la oportunidad de ver muchos entornos y configuraciones distintas y miles de problemas que no permiten que nos aburramos en ningún momento :-P
Personalmente, qué contar sobre mi... soy una persona bastante abierta y alegre y, como todos los que andamos metidos en este mundillo, apasionado de la informática y en concreto de Exchange!!! :-)
Esperamos que el blog sea un gran recurso para todos vosotros. Desde aquí os animamos a participar en él para crear una referencia para toda la comunidad de Exchange de habla española.
Saludos a tod@s!
Pablo
Después de algún tiempo sin actualizar el blog, volvemos a escribir nuevamente. Esta vez, además de yo misma, mis compañeros de soporte de Exchange Ramón de Diego, Pablo Garcia y Javier Gallego publicarán también. Os animo a que leáis sus introducciones en la sección "¿Quieres conocernos?" ;-)
Esperamos que estos nuevos contenidos os sean de gran utilidad. ¡Ese es nuestro objetivo!
Como bien sabéis en Exchange 2000 / 2003 podíamos encontrar tan solo dos Roles de Servidor: Backend y Frontend.
Con Exchange 2007 este número de roles se ha multiplicado hasta 5, el motivo es ofrecer una mejora absoluta a nivel de seguridad, mejorar el uso de recursos en cada servidor dependiendo de rol que asuma y por último proporcionandonos una mayor funcionalidad.
Todo esto hará de Exchange un producto mucho más robusto, escalable y flexible.
Los roles de servidor son los siguientes. (Haced clic en cada uno de ellos para conocerlos un poco más en profundidad)
En el siguiente enlace además podréis encontrar enlace sobre las posibles topologías de organización que puedan aparecer.
http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/ES/Help/ExchHelp/8c2b4d24-bcf8-4ee2-b80d-2592754264ff.mspx?mfr=true
Un saludo.
Inma y Angel
Exchange 2007 está practicamente en la calle, tal y como prometía nos va a ayudar a mejorar nuestro entorno de mensajería y nos proporcionará nuevos servicios que harán a nuestra empresa mucho más potente y resolutiva.
Podéis leer algunas de las nuevas características en:
http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/ES/Help/ExchHelp/cb24ddb7-0659-4d9d-9057-52843f861ba8.mspx?mfr=true
Inma & Angel
Bienvenidos al blog del equipo de soporte de Microsoft Exchange en España. Con él queremos compartir información del producto con vosotros, y presentaros eventos que estamos preparando. Sin embargo, nos gustaría que este flujo de información no fuese en un solo sentido. También queremos oiros. Mandadnos vuestro feedback sobre los temas que publicamos e incluso sugerirnos temas que os gustaría que abordáramos.
Inma & Angel
Como aperitivo, la lista que WebCasts que han preparado alguno de los ingenieros y que podéis escuchar y descargar:
