Скачать ее можно здесь - http://msdn.microsoft.com/en-us/windows/apps/br229516

Именно это сообщение практически каждый раз видят администраторы при закрытии консоли Exchange Server 2010 или 2007.

Как подтвердила Exchange Team (http://blogs.technet.com/b/exchange/…) эта проблема проявляется на всех компьютерах с установленным IE9.

Пока предложено два решения — закрывать mmc через диспетчер задач или удалить IE9.

Ну и Exchange Team и IE Team обещают бросить все свои силы на устранение этой проблемы.

В связи с этим я решил создать раздел «Каталог ссылок» на блоге, в котором буду публиковать ссылки на статьи, записи на блогах, официальную документацию и т.д. которые считаю очень полезными. Большинство из этих ссылок, наверное,  даже, обязательные для прочтения всеми. Все записи постараюсь отсортировать и сгрупировать по тематикам для простого поиска.

Следует также учитывать то, что это только ссылки и я не могу гарантировать, что через некоторое время они не перестанут работать. Хотя я буду стараться давать ссылки только на надежные проверенные сайты.

В Windows Server 2008 появился сервис для быстрой проверки сертификатов на отзыв — Online Responder. Подробнее о нем можно почитать, например, здесь: OCSP (часть 1), OCSP (часть 2).

Установка его не сложна и описана в приведеных ссылках.

Но один момент меня очень сильно не устроил.

Для pki у меня используется три сервера — Root CA, Issue CA и Web-сервер для crt/crl файлов (в DMZ). Online Responder было решено разместить именно на нем. На web-сервере сделан отдельный сайт ca.domen.ru, на котором есть html-странички со ссылками на сертификаты и выложены crt и crl- файлы.  А Online Responder установщик роли установил в дефолтный сайт, что меня не устроило.

Для того чтобы перевести его на наш не дефолтный сайт необходимо сделать следующее.

В консоли IIS внутри сайта ca.domen.ru создаем Application со следующими настройками:

• Alias = ocsp
• ApplicationPool = OCSPISAPIAppPool
• Physical Path = C:\Windows\SystemData\ocsp

Затем для нового приложения необходимо настроить Handler Mappings. Какие настройки нужны можно подсмотреть у созданного установщиком приложения ocsp в дефолтном сайте:

Настройки OSCP Handler-ов (слева то, что создалось в новом приложении, справа - то, что создал установщик роли Online Responder)

Необходимо удалить лишние и добавить AboMapperCustom-19272703 (тип Wildcard Script Map) с такими настройками:

• Name = AboMapperCustom-19272703
• Request Path = *
• Executable = C:\Windows\system32\ocspisapi.dll

После этого нужно удалить приложение ocsp из дефолтного сайта.

Все. Можно открыть pkivew.msc и проверить, что все работает:

Online Responder на новом сайте

Скрипт был необходим для одной специализированной программы, которая использует как общие диски для всех пользователей, так и персональные для каждого, причем персональные диски называются по собственному алгоритму программы и как-то объединить их вроде \\server\%username% — нельзя.
Подключать диски через Group Policy Preferences тоже нельзя, т.к. добавлять/удалять/изменять набор сетевых дисков (например при появлении нового сотрудника) должен низкоквалифицированный персонал, которому делать это в оснастке gpmc.msc будет сложновато.

В итоге я решил сделать текстовый файл с конфигурацией сетевых дисков, дать на него права на редактирование нужным сотрудникам и обрабатывать его скриптом.

Еще немаловажным минусом во всех скриптах является отсутствие логов. В моем скрипте все пишется в лог подробно-преподробно.

Итак скрипт.

'==========================================================================
' VBScript Source File
'
' NAME: Logon script for connect network drives which used by SunSystem and Q&A
'
' AUTHOR: Yakov Barinov
' DATE  : 20.01.2011
'
' COMMENT:
'==========================================================================

'On Error Resume Next

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objNetwork = WScript.CreateObject("WScript.Network")
Set WSHShell = Wscript.CreateObject("WScript.Shell")
Set objArgs = WScript.Arguments

Dim strShareFilePath, objTS
Dim LogFile, LogEnabled, SilentMode
Dim strDomain, strUserName, strComputerName

strComputerName = objNetwork.ComputerName
strDomain = objNetwork.UserDomain
strUserName = objNetwork.UserName

LogFile = "\\domen.ru\dfs\Logs\LogonScripts\SS5_DriveMappings\" & strComputerName & "--" & strUserName & ".log"
strShareFilePath = "\\domen.ru\SYSVOL\domen.ru\scripts\SS5_Shares.txt"

'Checking script arguments
If objArgs.Count=1 Then
	if objArgs(0)="disable" Then
		BackupServerName = ""
	Else
		BackupServerName = objArgs(0)
	End If
Else
	BackupServerName = ""
End If

' Enable Logging
LogEnabled = True
' Enable silent mode (It is strong recomended for run scripts by double click)
SilentMode = True

WriteLog ""
WriteLog "**********************Logging Start**********************"
WriteLog "Current domain - " & strDomain
WriteLog "Current computer - " & strComputerName
WriteLog "Current user - " & strUserName
WriteLog ""
WriteLog "Starting..."
WriteLog ""

'=====================   Start work zone    ==============================

Dim arCurDisks, intStrNum

Set objTS = objFSO.OpenTextFile(strShareFilePath)
CheckError

intStrNum = 0
Do Until objTS.AtEndOfStream
	intStrNum = intStrNum+1
	curLine = objTS.ReadLine
	curLine = Trim(curLine)
	'skip comments and empty lines
	If (Left(curLine,1) <> "#" and Left(curLine,1) <> "") Then
		WriteLog "Processing line " & intStrNum & " [" & curLine & "]"
		'convert string to array
		arCurDisks = Split(curLine, "|")
		'check array count (must be 3 elements)
		If (UBound(arCurDisks) = 2) Then 'Ubound show last element index. Then we checks it with
			arCurDisks(0) = Trim(arCurDisks(0))
			arCurDisks(1) = Trim(arCurDisks(1))
			arCurDisks(2) = Trim(arCurDisks(2))
			'check username For disk
			If (arCurDisks(0) = "*" Or arCurDisks(0) = strUserName) Then
				MapNetworkDrive arCurDisks(1), arCurDisks(2)
			Else
				WriteLog "Diferent user. Skipping."
			End If
		Else
			WriteLog "Error - wrong count of parametrs"
		End If
		WriteLog "" 'write delemetr to log file
	End If
Loop
objTS.Close

Set colDrives = objNetwork.EnumNetworkDrives

WriteLog "Network drives:"
'enumerate network drives
If colDrives.Count = 0 Then
	WriteLog "You have no mapped networked drives"
Else
	For i = 0 To colDrives.Count - 1 Step 2
		WriteLog colDrives(i) & vbTab & colDrives(i + 1)
	Next
End If

'=====================   End work zone    ================================

WriteLog ""
WriteLog "Script Done"
WriteLog "**********************Logging Stop**********************"

'==========================================================================
' Custum functions Function
'==========================================================================

'---------- Map network drive----------------------------------------------
Function MapNetworkDrive(strDrive, strShare)
	strDrive = strDrive & ":"
	If objFSO.FolderExists(strShare) Then 'verify share exists
		if objFSO.DriveExists(strDrive) Then 'see if drive letter is in use
			objNetwork.RemoveNetworkDrive strDrive,True,True
			WriteLog "Disconnecting Old Network Drive"
			CheckError
		end If
		'Map new drive
		objNetwork.MapNetworkDrive strDrive, strShare
		If Err.Number = 0 Then
			WriteLog "Drive sucesfully connected"
		End If
		CheckError
	Else
		WriteLog "Path doesn't exist: " & strShare
	End If
	MapNetworkDrive = True

End Function

'==========================================================================
' Common functions Function
'==========================================================================

'---------- Write log messages to screen and log file -------------
Sub WriteLog (logtext)
	If LogEnabled = True then
		' Write message to screen
		If SilentMode = False Then
			Wscript.echo logtext
		End If
		' Write message to log file
		Set TextFile = objFSO.OpenTextFile (LogFile, 8, True)
		TextFile.WriteLine(Date() &" " & Time() & " : "& logtext)
		TextFile.Close()
	End IF
End Sub

'---------- Check current error and log it ------------------------
Sub CheckError()
    If Err.Number <> 0 Then
     WriteLog "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If
End Sub

Файл с настройками сетевых дисков:

########################################################
# Enum of users shares for S5                          #
#------------------------------------------------------#
# Format:                                              #
# username | drive | share                             #
# or                                                   #
# * | drive | share                                    #
#------------------------------------------------------#
# spaces near pipes are ignored                        #
# empty lines are ignored                              #
# coments starts with #                                #
# don't use coments at the and of the lines!!!         #
#------------------------------------------------------#
# Examples:                                            #
# iivanov | f | \\server\share                         #
# ppetrov|h|\\server\share2                            #
# * | f | \\server\share3                              #
########################################################

* | S | \\domen.ru\dfs\SS5_Updates
* | V | \\domen.ru\dfs\SS5_TransferDesk
* | Y | \\domen.ru\dfs\SS5_print

iivanova       | W | \\SRV-S5\S5\_WORKAKO
apetrov        | W | \\SRV-S5\S5\_WORKANI
ksidorov       | W | \\SRV-S5\S5\_WORKMRL

Как видно файл с настройками очень простой. имя пользователя | буква диска | папка Пробелы игнорируются, можно делать комментарии. Имя файла указываем в скрипте в переменной strShareFilePath. Папку куда писать указываем в переменной LogFile. Чтобы скрипт смог писать в паку с логами необходимо дать права пользователям создавать файлы, а владельцу изменять (create files и modify, соответственно)

• автообнаружение архивного ящика и подключение его в outlook,
• автоматическое перемещение сервером Exchange писем в архивный ящик,
• создание правил, перемещающих письма в архивный ящик,
• перемещение писем в архивный ящик руками,
• поиск по архивному ящику,
• архивный ящик, как и в Outlook 2010, доступен только при активном подключении к серверу (в независимости от включенного или отключенного кешированного режима).

Для начала ссылка на сам роллап -  Update Rollup 2 for Exchange Server 2010 Service Pack 1

При установке происходит следующее. Сначала инсталятор подготавливается, анализирует конфигурацию и т.д. Доходит до этого шага:

Т.е. начинается сама установка апдейта. Затем следует следующий, самый интересный шаг — остановка служб:

Вроде бы все нормально, процесс идет, что-то делается. Но почти в самом конце мы получаем фейл и прогресс бар откатывается назад. Установка завершилась не удачно. Более того — сам сервер Exchange не работает.

После долгого разбирания логов, кучи повторных запусков инсталятора, поисков в гугле и чесания репы понимаем причину. Загадка кроется в режиме запуска служб после того как их остановит инсталлятор:

Чудесно, правда? :) Ну и уже можно догадаться, что инсталлятор в самом конце пытается запустить службы, но не может, т.к. они задизаблены.

Аналогичная ситуация и при установке и при удалении первого и второго роллапа для Exchange 2010 SP1. С Exchange RTM я не работал, но судя по постам на различных сайтах и форумах, там проблема аналогичная.

Для чего инсталлятор отключает службы я понять не смог. Единственное что пришло в голову — чтобы при внезапном отключении сервера в процессе установки он не начал подниматься. Почему инсталлятор не может их разрешить, а уже потом запускать? Не знаю.

Ну и хочется добавить, что временно (из-за настройки другого ПО) на этом сервере был отключен UAC и ExecutionPolicy в Powershell был выставлен в Unrestricted.

Теперь как все таки установить и удалить ролапы.

Перед запуском инсталлятора запускаем окошко служб и постоянно жмем F5 :) Дожидаемся когда службы выключатся и задизаблятся. После этого нужно быстренько их перенастроить в режим запуска Automatic. Чтобы это сделать быстро, можно сделать такой батник:

sc config IISADMIN start= auto
sc config MSExchangeADTopology start= auto
sc config MSExchangeAB start= auto
sc config MSExchangeAntispamUpdate start= auto
sc config MSExchangeEdgeSync start= auto
sc config MSExchangeFDS start= auto
sc config MSExchangeFBA start= auto
sc config MSExchangeImap4 start= auto
sc config MSExchangeIS start= auto
sc config MSExchangeMailSubmission start= auto
sc config MSExchangeMailboxAssistants start= auto
sc config MSExchangeMailboxReplication start= auto
sc config MSExchangeMonitoring start= auto
sc config MSExchangePop3 start= auto
sc config MSExchangeProtectedServiceHost start= auto
sc config MSExchangeRepl start= auto
sc config MSExchangeRPC start= auto
sc config MSExchangeSearch start= auto
sc config wsbexchange start= auto
sc config MSExchangeServiceHost start= auto
sc config MSExchangeSA start= auto
sc config MSExchangeThrottling start= auto
sc config MSExchangeTransport start= auto
sc config MSExchangeTransportLogSearch start= auto
sc config MSExchangeUM start= auto
sc config msftesql-Exchange start= auto
sc config RemoteRegistry start= auto
sc config Winmgmt start= auto
sc config W3SVC start= auto
pause

Это службы, используемые на серверах с ролями Mailbox, Hub Trunsport, Client Access, UnifiedMessaging. Если у Вас другие роли, то соответствующие службы можно исключить (можно не исключать, просто батник ругнется на отсутствие службы и пойдет дальше). Для роли Edge можно использовать следующий файл:

sc config ADAM_MSExchange start= auto
sc config MSExchangeAntispamUpdate start= auto
sc config MSExchangeEdgeCredential start= auto
sc config MSExchangeMonitoring start= auto
sc config MSExchangeServiceHost start= auto
sc config MSExchangeTransport start= auto
sc config MSExchangeTransportLogSearch start= auto
sc config RemoteRegistry start= auto
sc config Winmgmt start= auto
pause

Собственно все. Надеюсь это поможет кому-нибудь сохранить несколько часов и пару не седых волос на голове :)

Оказывается все не так. IE передает данные аутентификации (если точнее, то билет Kerberos) только на сервера занесенные в зону локальной сети. Firefox делает тоже самое, но он не использует зоны IE, а использует свои собственные настройки.

Чтобы добавить сайт в эту зону нужно зайти в режим настроек (в адресной строке набираем about:config) и найти параметр «network.automatic-ntlm-auth.trusted-uris». В него и прописываем нужные нам настройки:

Несколько сайтов можно прописать через запятую, а весь домен вот так:

http://.domen.ru

Т.к. нагрузки толком на этих серверах нет (основная нагрузка у нас на выделенных оракловых серверах), то решили и виртуалки с файлами, принтерами и почтой тоже кластеризовать. Получится кластер в кластере :)

Почитав технет я узнал, что МС недавно это стала официально поддерживать, но с одной оговоркой — автоматическое перемещение нод виртуального кластера нужно отключать. Почесав репу, мы поняли, что нас это вполне устраивает.

Купили систему хранения EMC Clariion (ну в первую очередь она покупалась, т.к. хранилище в серверах уже не устраивало ни по емкости, ни по скорости, ни по удобству), построили SAN на оптике. Свичи, HBA, провода, процессоры и диски в хранилище — все задублировано. В общем все по взрослому. Стоило все это удовольствие тоже немерянно.

Все смонтировали, включили, собрали кластер из трех Hyper-V. Все работает отлично. виртуалки бегают с одной ноды на другую как и во всех видео на techdays.ru и подобных. Теряется только один пинг, пользователи ничего не замечают. При выдергивании провода питания из сервера все тоже автоматом переезжает.

А дальше одни проблемы.

Начали собирать кластер из виртуалок. Подключили лун к виртуалкам в режиме pass-throgh, он там видится. Но Validation test говорит, что у нас нету дисков, подходящих для кластера.

Как оказалось, Hyper-V не может создать Shared-Bus на основе SCSI и возможно использовать только iSCSI диски используя iSCSI-initiator напрямую в виртуальной машине.

Т.е. мы вгрохали кучу денег в 8-ми гигабитную оптику, а должны использовать медленный iSCSI. Аж страшно… Пришлось от кластеризации виртуалок отказаться.

Вот в VMware VSphere есть поддержка Shared-шины и кластер такой собрать можно…

Ну и еще один симпатичный глюк. Нода кластера Hyper-V стабильно грохается, если двум виртуальным машинам на одной ноде подключить один iso образ в CD или физический привод.
Видимо по этому VMM, при подключении iso к приводу, по-умолчанию копирует его в папку с виртуалкой, а не использует из библиотеки один на все виртуалки.

Но этот глюк позволил отлично протестировать failover — работает отлично :)

Разбираться с этим я пока не стал — диски слава богу подключаются очень редко, да и если забудешь, то кластер спасет.