Category Archives: Microsoft Exchange & TMG

Làm thế nào có thể thay đổi tên miền trong tổ chức doanh nghiệp trên Windows Server 2012?


Bài toán đặt ra:

Hệ thống domain của tổ chức Doanh nghiệp thông thường được tạo theo cấu trúc nội bộ, không liên quan tới hệ thống dịch vụ trên Internet. Nhưng vì một số lý do rất cơ bản, tổ chức doanh nghiệp lớn, nằm dải khắp các quốc gia khác nhau.

Khi dùng chung cấu trúc và tên 1 domain,

Ví dụ:  Robusta.org , các đơn vị, tổ chức thành viên sẽ dùng lại đúng domain này cho hệ thống nội bộ tại quốc gia thành viên, đây là cách truyền thống, đơn giản, tiết kiệm thời gian.

Robusta_Org_old

Sau khi xây dựng các hạ tầng mới tài chi nhánh hoặc các tổ chức doanh nghiệp tại các quốc gia thành viên như: Ảo hóa VMware vCenter, Private Cloud…

Các chi nhánh và tổ chức danh nghiệp thành viên sẽ nảy sinh vấn đề mới đó là:

  1. Không thể copy sao chép giống y nguyên domain name của Head quarter do vấn đề conflic về tên miền, quản lý tên miền khi các chi nhánh có nhu cầu Public các dịch vụ Web Portal, Intranet, Private Cloud, Mobile Application cần có chữ ký số thuê của các hãng Cert Sign, Godaddy…
  2. Tên miền quản lý do Head quarter quản lý do vậy, khi đăng ký SSL/TLS sẽ phải do Admin IT của Head quarter control rất mất thời gian hoặc không chủ động điều khiển được từ phía chi nhánh, tổ chức thành viên.
  3. Các chi nhánh, tổ chức thành viên khi có đầu tư hạ tầng thường sẽ có các cơ cấu nhân sự, quản lý tài nguyên chủ động, độc lập thậm chí cấu trúc kỹ thuật CNTT khác đi so với cấu trúc ở trên:

 

Robusta_Org_new

Theo như mô hình trên đây thì chúng ta sẽ:

– Dễ dàng quản lý từng domain name cho các chi nhánh hoặc tổ chức doanh nghiệp thành viên mà không bị phụ thuộc vào việc xét duyệt

đợi điều khiển từ phía Head quarter mỗi lần có phát sinh từ đơn vị chi nhánh.

– Chủ động quản lý các tên miền, máy chủ, máy trạm, tài khoản người dùng, phân nhóm và đặc biệt là các dịch vụ SSL/TLS đăng ký để public intranet/extranet/internet.

 

Các phương án thay đổi:

1. Phương án 1: Xóa Domain tại các chi nhánh hoặc tổ chức Doanh nghiệp thành viên  ( demote AD-DC, sau đó restart và dcpromo lại AD-DC với tên mới)

  • Phương án này đơn giản lặp lại các bước đã làm, mất thời gian làm lại, nhưng có thể sẽ không phù hợp với các máy chủ dịch vụ đã cài và đang vận hành như: UC Voice Lync Conferencing, Exchange Server 2013 on-primise, MS SQL server enterprise, MS SharePoint farm, MS BizTalk Server Enterprise…
  • Do tất cả các máy chủ trên được cài, cấu hình trên nền tảng Windows Authentication, cần Join Domain với tên domain chuẩn ban đầu có sẵn. Nếu hủy domain hiện thời sẽ dẫn tới mất Windows Authentication và WFC Platform cho phép các máy chủ dịch vụ chạy.
  • Phương án này có thể gây sự cố không dùng lại được do các dịch vụ, cấu hình của những ứng dụng phức tạp, ứng dụng đã cấu hình theo tên miền cũ không tương thích, không phù hợp với cấu hình mới.

2. Phương án 2: Thay đổi tên miền (rename domain, sau đó join domain lại ở các máy chủ, máy trạm)

– Phương án này đơn giản trải qua hơn 28 bước thay đổi tên miền và join lại cho các máy trong tên miền của chi nhánh.

– Phương án này sẽ mất thời gian join domain lại các máy chủ dịch vụ, máy trạm với tên miền và tài khoản join domain admin mới.

– Phương án này sẽ không phải cấu hình lại toàn bộ các ứng dụng dịch vụ đang có, chỉ lưu ý các thông số của các trường hợp sau:

1. UC Server sẽ phải kiểm tra lại các tài khoản login dịch vụ theo kiểu UPN@domain và sau đó kiểm tra dịch vụ có dùng account domain\username.

Chứng chỉ CTL sẽ phải xóa bớt chứng chỉ gốc hoặc renew lại chứng thư số mới

2. MS SQL Server enterprise phải cấu hình quyền access login server và có thể cả quyền DB Admin theo dạng Mixed mode (cho phép account SQL Local “sa”) được phép truy cập MS SQL

khi gặp sự cố về Domain Controller hoặc thay đổi Domain name dẫn tới các account của domain name cũ điều khiển được MS SQL Server…

3. MS Exchange server sẽ phải chạy lại Exchange Configuration Wizard để re-buil lại cấu hình domain mới cho Mail Server re-configure

4. MS SharePoint server sẻ phải chạy lại SharePoint Server Configuration Wizard để re-buil Farm Server và một số cấu hình khác.

5. Phải backup các GPO của máy chủ AD-DC trước khi rename domain

 

3. Phương án 3: Không thay đổi tên miền, chỉ thêm các bí danh cho tên miền trên DNS Server (thêm các DNS Zone, bản ghi A (Host), CNAME, PTR, TXT, SRV)

– Phương án này đơn giản trải qua hơn 3 bước thay đổi các thông số tên máy chủ dịch vụ, mapping IP nội bộ các máy của chi nhánh.

– Phương án này sẽ mất ít thời gian kiểm tra máy trạm , máy chủ dịch vụ từ ngoài truy cập và hệ thống nội bộ để xác định các hạng mục có chạy ổn định hay không ?

– Phương án này có thể không phù hợp với toàn bộ hạ tầng ứng dụng của chi nhánh khi có nhiều chuẩn HĐH khác nhau, nhiều chuẩn kết nối dữ liệu người dùng khác nhau, ứng dụng đã fix code gọi LDAP/ADFS…

– Phương án này chỉ phù hợp với hạ tầng đã hoặc đang triển khai Private Cloud, giúp các các web portal intranet, các ứng dụng Windows Form… có thể kết nối và truy cập qua Internet bằng các trình duyệt web HTML5 smartphone, mobile device mà không cần thiết lập VPN kết nối Site – to – site.

 

Tóm lại, phương án 2 là hợp lý nhất.

 

Chi tiết các bước, các bạn nên tham khảo:

Các bước thay đổi tên miềnhttps://mizitechinfo.wordpress.com/2013/06/10/simple-guide-how-to-rename-domain-name-in-windows-server-2012/ 

Tham khảo các ghi chú về kỹ thuật thay đổi tên miền: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx

Tham khảo support tình huống đăng ký lại chữ ký số mới cho UC: http://support.microsoft.com/kb/2464556/ 

Tham khảo cách đăng ký chữ ký số cho IIS8, IIS8.5:  https://www.digicert.com/ssl-support/ssl-host-headers-iis-8.htm

Tham khảo cách đăng ký chữ ký số cho Exchange 2013: http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/

Advertisements

Khi nâng cấp lên Office365 hệ thống bên Trường Đại học gặp lỗi bị trả lại mail “Delivery is delayed to these recipients or groups:”


1 Bạn Quản trị tại Trường ĐH vùng nêu câu hỏi:

Như đã trao đổi qua điện thoại với anh khi nâng cấp lên office365 hệ thống bên em gặp lỗi bị trả lại mail “Delivery is delayed to these recipients or groups:” .

Nhờ anh coi giúp và đưa ra hướng xử lý dùm bên em. Em cảm ơn

Trân trọng.

 

Trả lời:

Chào Bạn,

1. Mình đã xem phần cấu hình DNS ở phần quản lý tên miền mà bạn gửi và trên http://Portal.microsoftonline.com   đều đúng.

DNS records 1

checking upload recorddns record2

 

Lỗi này mình cũng gặp phải khi xoá / thay hẳn cấu hình MX, và CNAME cũ.

Mình đã kiểm tra bên các Trường khác khi nâng cấp, họ vẫn giữa nguyên các bản ghi cũ, chỉ thêm bản ghi mới như Trung làm thì chạy ổn định.

Vậy, bạn thêm lại giúp mình trong máy chủ DNS đang quản lý tên miền các bản ghi MX và CNAME cũ nhé

ví dụ:

1. CNAME: f3feeecccf8985 Host: mail.outlook.com

2. MX @ Host: f3feeecccf8985.mail.outlook.com Priority: 5

3. MX @ Host: f3feeecccf8985.msv1.invalid Priority: 10

P.S :Các bản ghi mới thêm đều đúng không phải xoá / sửa gì cả (chỉ thêm bản ghi cũ trước khi nâng cấp lên Office 365).

2. Nếu Bạn đang kiểm soát DNS thì cũng nên thêm bản ghi để dùng Lync Conferencing ( dùng làm truyền hình, họp, học, hội thảo quan mạng Trực tuyến)

Ví dụ sau đây, mình quản lý tên miền cloud.edu.vn cung cấp bởi matbao.vn, sẽ phải cấu hình Lync (theo các ô đánh dấu đỏ) khai báo thêm các thông số sau

 

Lync

Cách cấu hình SMTP Relay trên máy chủ IIS–Windows 2008 kết nối Exchange Online của Office 365


Cấu hình SMTP Relay trên máy chủ IIS 7, 7.5 Windows Server 2008

Contents

1. Mở IIS 7. 1

2. Kích hoạt SMTP Server trên máy chủ Windows 2008. 2

3. Cấu hình SMTP trên IIS 6. 3

4. Kiểm tra chạy cấu hình SMTP trên IIS 6. 9

5. Cấu hình Mail trên SharePoint Administrator Center. 10

1. Mở IIS 7

clip_image002

2. Kích hoạt SMTP Server trên máy chủ Windows 2008

clip_image004

3. Cấu hình SMTP trên IIS 6

clip_image006

clip_image008

clip_image010clip_image012

clip_image014

clip_image016clip_image018clip_image019clip_image021

Cách xác định địa chỉ máy chủ Exchange Online bằng lệnh CMD như sau:

clip_image023

Ví dụ: địa chỉ mail.cloud.edu.vn là địa chỉ bạn đã khai subdomain / DNS của webmail theo nhà cung cấp dịch vụ quản lý tên miền

Kết quả trả về là màn thông báo kết nối thành công mã 220

clip_image025

Cuối cùng, mở Start\Control Panel\Services kiểm tra dịch vụ SMTP đã started.

clip_image027

4. Kiểm tra chạy cấu hình SMTP trên IIS 6

Tạo 1 file có tên mail.txt, có nội dung sau:

From:<thang.le@hotmail.com>

To:<youremail@your_domain_office365.edu.vn>

Subject: Test mail from IIS Server via SMTP Relay Office 365

Body:

Mail Content to send SMTP Relay.

^

Hãy copy file này vào thư mục c:\inetpub\mailroot\pickup\

clip_image029

Nếu hệ thống chạy tốt, cấu hình SMTP trong IIS đúng, file đó sẽ tự động chuyển sang thư mục Queu và Send, bạn có thể kiểm tra log của IIS 6 hoặc trên hòm thư bạn đã gửi trong mục To:<> của nội dung file mail.txt.

5. Cấu hình Mail trên SharePoint Administrator Center

clip_image031

Thông báo nâng cấp Live@Edu lên Office 365 for Education


33336_GetEducated_Logo_LAE          33336_GoNow_O365new         NOVADigital_Dr.LeToanThang

Kính gửi: Các đơn vị Phòng, Khoa, Trung tâm, Bộ môn và toàn thể các bạn sinh viên.

Microsoft và NOVA Digital đang tiến hành nâng cấp từ Live@Edu for Education lên Office 365 for Education cho các trường học, do đó sắp tới hệ thống email dành cho sinh viên [@domain.edu.vn] của Trường cũng sẽ nâng cấp mới lên Office 365.

Chúng tôi xin thông báo các đơn vị Phòng, Khoa, Trung tâm … và toàn thể các bạn sinh viên một số thông tin liên quan đến việc nâng cấp như sau:

  1. Hệ thống email sinh viên [@domain.edu.vn] chính thức nâng cấp mới kể từ ..giờ.., ngày .. tháng .. năm 2013 (Thứ ..).
  2. Tiến trình nâng cấp dự kiến kéo dài trong 90 phút, từ ..giờ.. đến ..giờ.., ngày .. tháng .. năm 2013.

Lưu ý: Trong quá trình nâng cấp hệ thống email diễn ra, các dịch vụ không bị gián đoạn hay tạm dừng, nhưng từng tài khoản người dùng sẽ được tách thành hai gồm:

  • 01 tài khoản thuộc nhóm “Office 365 account” dùng để truy cập email Exchange Online.
  • 01 tài khoản thuộc nhóm “Microsoft account” dùng để truy cập các loại dịch vụ khác của Microsoft services như: Skydrive, Messenger, Calendar và không dùng để truy cập email. 

(những vấn đề nâng cấp trên là tự động và người dùng không cần quan tâm và chỉ xảy ra trong quá trình nâng cấp).

Do vậy, từng tài khoản vẫn nhận được thư từ ngoài gửi đến, nhưng không thể gửi hoặc đăng nhập vào hòm thư để lấy thư/gửi thư đi trong lúc đang nâng cấp.

Các trang web để đăng nhập vào hộp thư email của Trường:

http://mail.office365.com

https://www.outlook.com/domain.edu.vn

https://portal.microsoftonline.com

3.  Sau khi hoàn thành việc nâng cấp hệ thống [@domain.edu.vn], giao diện Banner Header, màu sắc và Menu trên hộp thư sẽ thay đổi về Microsoft Office 365, nhưng nội dung hộp thư (thư đến, thư đi, thư chưa đọc, quy tắc, chữ ký, …) vẫn y như cũ, không có gì thay đổi.

Mục đích của thông báo này để giúp các đơn vị Phòng, Khoa, Trung tâm, nhân viên, Giáo viên trong Trường … và toàn thể các bạn sinh viên không bị bở ngỡ khi sử dụng hộp thư, và chủ động hơn trong việc khai thác hộp thư làm công cụ hỗ trợ học tập.

Trân trọng Cảm ơn

Tài liệu tham khảo chương trình nâng cấp lên Office 365:

Deploying Office 365 for All (1 Days)



 

Course Contents

1         Introduction

 

          Microsoft Learning, MPN Capability Development, the Small Business Competency team and the Microsoft Office team bring you an exciting opportunity to learn to plan and deploy Office 365. As organizations recognize the benefits of providing users with anywhere-access to cloud-based email and scheduling, web conferencing, file sharing, collaboration and Office Web Apps at a low predictable monthly cost, demand for certified Office 365 expertise is climbing sharply in the enterprise and small business space.

 

 

 

2         The content

 

          Plan and implement Account synchronization 

          Plan and implement Single sign on

          Plan and implement Federation for Exchange Online and Lync Online

          Plan and implement Office 365 Security 

          Plan network security and connectivity 

          Plan namespace integration

          Exchange Online—Plan email flow, messaging hygiene, security, and compliance

          Exchange Online—Plan hybrid deployment, mailbox migrations 

          Exchange Online—Unified messaging with Exchange Online

          Lync Online—Plan sizing, conferencing provider (ACP) integration; namespace planning; coexistence scenarios 

          SharePoint Online—Plan and configure site structures and site settings 

          SharePoint Online—Plan and configure properties.


 

 

 

Detailed Course Content

 

1.        

Accounts, Services, Infrastructure

 

·         Module 1: Plan and implement Account synchronization 

·         Module 2: Plan and implement Single sign on 

·         Module 3: Plan and implement Federation for Exchange Online and Lync Online

·         Module 4: Plan and implement Office 365 Security 

·         Module 5: Plan network security and connectivity

·         Module 6: Plan namespace integration  

2.        

Exchange, Lync and SharePoint Online

 

·         Module 7: Exchange Online—Plan email flow, messaging hygiene, security, and compliance

·         Module 8: Exchange Online—Plan hybrid deployment, mailbox migrations 

·         Module 9: Exchange Online—Unified messaging with Exchange Online 

·         Module 10: Lync Online—Plan sizing, conferencing provider (ACP) integration; namespace planning; coexistence scenarios

·         Module 11: SharePoint Online—Plan and configure site structures and site settings

·         Module 12: SharePoint Online—Plan and configure properties

 

3.        

Virtual Labs for practices

 

·         Upgrade Live@edu to Office 365.

·         Setup and Configuration for AD synchronization with Office 365 by DirSync Tool.

·         Setup and Configuration for ADFS SSO with AD account sign-on Office 365.

 

 

 

 

 

Môn học

Office 365 dành cho các nhà Quản lý dịch vụ & triển khai hạ tầng CNTT của Doanh nghiệp

Mã môn

70-321

Thời gian

1 ngày

Số lượng

Tối đa 20 người / 1 lớp

Thiết bị

          Wi-fi/3G và 1 đường Internet > 1.2Mps

          Người dùng được phép tự trang bị Windows Phone, Android, iPhone, Tablet, iPad, Laptop.

 

Publishing Outlook Web Access with Microsoft Forefront TMG


How to publish Exchange Server 2007 SP1 Outlook Web Access (OWA) with Microsoft Forefront TMG.

1.

Change FBA to basic authentication on Exchange Server

Firstly, we have to change the Forms based Authentication (FBA) on Exchange Server site, because TMG also uses FBA and the settings enabled on TMG and Exchange will result in conflicts. To change OWA from FBA to Basic Authentication (used by TMG) start the Exchange Management Console, navigate to Server Configuration – Client Access – and click into the properties of the OWA settings and change FBA to Basic and Windows Authentication as you can see in the following screenshot.


Figure 1: Change authentication from FBA to Basic authentication

2.

we must request a new certificate for the TMG web listener for the public DNS

After we changed from forms based authentication to basic authentication at Exchange site, we must request a new certificate for the TMG web listener for the public DNS name which will be used to access Outlook Web Access from the Internet.

Important:
The common name (CN) of the certificate must match the public DNS name used to access OWA. For example: If your public DNS name is OWA.IT-Training-Grote.de, the CN of the certificate must be the same.

With the Windows Server 2008 MMC Certificate Snap In it is possible to add additional information to the certificate request process. You will need these additional settings to create a certificate request with the custom CN as you can see in the following screenshot.

image

image


Figure 2: Request a new certificate

Lưu ý: Trường hợp gặp lỗi sau

image

To automatically enroll clients for certificates in a domain environment, you must:

  • Configure a certificate template with Auto enroll permissions. For more information, see Issuing Certificates Based on Certificate Templates (http://go.microsoft.com/fwlink/?LinkId=142333).
  • Configure an auto enrollment policy for the domain.

image

Membership in Domain Admins or Enterprise Admins, or equivalent, is the minimum required to complete this procedure. For more information, see Implement Role-Based Administration.

To configure auto enrollment Group Policy for a domain

  1. On a domain controller running Windows Server 2008 R2 or Windows Server 2008, click Start, point to Administrative Tools, and then click Group Policy Management.

  2. In the console tree, double-click Group Policy Objects in the forest and domain containing the Default Domain Policy Group Policy object (GPO) that you want to edit.

  3. Right-click the Default Domain Policy GPO, and then click Edit.

  4. In the Group Policy Management Console (GPMC), go to User Configuration, Windows Settings, Security Settings, and then click Public Key Policies.

  5. Double-click Certificate Services Client – Auto-Enrollment.

  6. Select the Enroll certificates automatically check box to enable auto enrollment. If you want to block auto enrollment from occurring, select the Do not enroll certificates automatically check box.

  7. If you are enabling certificate auto enrollment, you can select the following check boxes:

    • Renew expired certificates, update pending certificates, and remove revoked certificates enables auto enrollment for certificate renewal, issuance of pending certificate requests, and the automatic removal of revoked certificates from a user’s certificate store.
    • Update certificates that use certificate templates enables auto enrollment for issuance of certificates that supersede issued certificates.
  8. Click OK to accept your changes.

Click the link in the request certificate wizard and select the common name type and enter the CN you will need, in this case owa.it-training-grote.de and click Add.


Figure 3: Specify the CN for the public certificate

After the certificate has been successfully created, you will see the result in the certificate Snap In.

Note:
If the certificate request process with the MMC was not successful, the problem might appear due to the fact that the certificate request requires DCOM access which must be manually configured at the ISA/TMG Firewall. For additional information read the following Blog post from the ISA/TMG product team.


Figure 4: Certificate enrollment successful

 

Phần 3: Cách tạo chữ ký số SSL cho Exchange 2007

https://www.digicert.com/easy-csr/exchange2007.htm

Cách cài chữ ký số SSL vào Exchange 2007

http://www.digicert.com/ssl-certificate-installation-microsoft-unified-communications.htm

 

Phần 4: Cách cấu hình OWA trong TMG 2010

Start the TMG Management console, navigate to the Firewall Policy node and create a new Exchange Web Client Access Publishing rule.


Figure 5: Create a new Exchange Web Client Access Publishing Rule

A new wizard start which will guide you to the OWA publishing process. Enter a name for the new publishing rule.


Figure 6: Exchange Publishing rule name

Specify the correct Exchange version and the web client mail service you want to publish.


Figure 7: Publish OWA with Exchange Server 2007

We want to publish a single Website, so we select this option.


Figure 8: Publish a single Web site

Select SSL, so TMG will establish a secure connection with the Client Access Server (CAS).


Figure 9: use SSL for connection to the published server

Enter the Internal Site name of the Client Access Server. This is the internal FQDN of the CAS server. The Internal Site name must match the Common Name (CN) of the certificate used on the Client Access Server.


Figure 10: Specify the internal site name

In the next step of the wizard, enter the public name which clients must use in their browsers to access the published Outlook Web Access Server through the Internet.


Figure 11: Specify the public name to access OWA

Create a new OWA Web listener. The web listener should use SSL due to security reasons.


Figure 12: Require SSL for connections with clients

Now it is time to select the Network on which Microsoft TMG should listen for incoming network traffic for Outlook Web Access. Select the External network and if you only have one IP address bound to the external network interface of TMG you can leave the setting unchanged, else you must select the IP address in the Listener which should be used to publish Outlook Web Access.


Figure 13: Select the Web listener for external requests

Next, choose the certificate which will be bound to the web listener in order to access OWA through the Internet. You must select the certificate which you had created with the MMC.


Figure 14: Select the certificate for public OWA access

Select Formats Based Authentication (FBA) with Windows authentication.


Figure 15: Select Authentication method

Because we do not use SSO (Single Sign On), uncheck the SSO option.


Figure 16: Deactivate SSO

Click Finish and Next.

The Authentication Delegation method selects the Basic Authentication. Since Basic Authentication is used with SSL, this does not pose a security problem.


Figure 17: Authentication Delegation

When this is done, select the users and user groups which should be allowed to access Outlook Web Access through the Internet.


Figure 18: Select users who should use OWA through TMG

Click Finish and Apply.

After the wizard has successfully completed, you can test your configuration. For this article I accessed the OWA website with my Windows 7 Netbook.


Figure 19: Successfully connected to the OWA website through the Internet

Cách cấu hình windows 7, Windows 8, windows server 2008 dùng PowerShell cmdlet điều khiển Exchange Online thông qua mạng có Proxy


Mạng internet và mạng nội bộ của các Doanh nghiệp và các Trường được quản lý bởi những nhân viên IT Administrator có những trình độ khác nhau, nhưng phần lớn bị mang tiếng là không có tầm nhìn, đôi lúc còn bị tính vụn vặt, và có lúc không kiểm soát được tình hình thì lại giống các cụ lãnh đạo nhà nước ta là “Cấm”…

Quá khó cho tình hình kiếm soát hệ thống mạng khi không có kiến thức sâu và rộng, có kế hoạch và tầm nhìn để theo đuổi một hệ thống mạng lớn, nhiều người dùng, mật độ và tính phức tạp trong quá trình sử dụng. Thế nhưng đối với quan điểm của Tôi, các tiêu chuẩn về an toàn, tiết kiệm, bảo mật và phù hợp với từng giai đoạn áp dụng công nghệ mạng mới là tiên quyết, bất di bất dịch, và tôi luôn theo đuổi tới cùng quan điểm đó.

Mạng các Doạnh nghiệp và Trường học thay đổi về giao thức đang từ chính sách tự:

1. Kết nối máy nhân viên, sinh viên vào mạng nhà Trường là ra được internet, cái đó chỉ tồn tại thời gian ngắn, quá tải, do người dùng không tự bảo trọng.

2. Đổi sang bắt Join domain, ổn nhưng nhiều việc quá, IT không khoái. Những người dùng cố định thì ổn, còn vãng lai, chỉ đọc, dùng tạm qua mạng của Cơ sở thì chịu mà lượng này lớn hơn, IT lại thay đổi chính sách mạng.

3. Mọc ra một vài ông Firewall, ISA, NAT , Forefront, Zone Alarm, Check Point, TMG, Symantec End Point, FotiGate FG …. quá nhức đầu luôn, lại lọc cổ ông IT Admin ra mà làm, nhưng hậu quả thật khó lường trước, IT Admin đã làm thay đổi cả các cấu hình sử dụng phần mềm của người dùng. Đằng sau sự thay đổi có tính cách mạng âm thầm cho người dùng này, là một cuộc đảo chính, binh biến của người dùng. sự bực bội không hài lòng của người dùng tăng lên như:

– Tôi không check mail offline được vì Proxy không có cấu hình cho mail client.

– PS PowerShell không chạy ra ngoài để điều khiển được Outlook Exchange Online.

– Các phần mềm cũ kỹ không chạy được với Proxy coi như loại khỏi cuộc chiến, IT yêu cầu nâng cấp đê, tiền đâu ra ?

 

Tóm lại:

Cái gì ở ngoài mạng nội bộ là ổn rồi, chúng nó chết cả rồi.

Thế  Cloud Computing hay SaaS là cái gì ? không cần biết, chúng chết cả trong tay IT Admin rồi.

 

Gỡ rối phần mềm trên bằng cách giải quyết nhu cầu của Doanh nghiệp, nhà Trường bằng cách sau: Cách cấu hình windows 7, windows server 2008 dùng PowerShell cmdlet điều khiển Exchange Online thông qua mạng có Proxy

 

Nếu cài đặt Firewall Client không hiệu quả, hãy kiểm tra cài đặt proxy HTTP trên máy tính cục bộ của bạn bằng cách chạy lệnh sau:

netsh winhttp show proxy

Đầu ra của lệnh này có thể cho biết:

Current WinHTTP proxy settings:
    Direct access (no proxy server).

Nếu máy tính cục bộ của bạn chưa chỉ định một proxy HTTP, hãy chỉ định một proxy đó bằng cách chạy lệnh sau:

netsh winhttp set proxy <proxy server name>:80 "<local>"

Ví dụ: nếu tên máy chủ proxy của tổ chức của bạn là proxy1, hãy chạy lệnh sau:

netsh winhttp set proxy proxy1:80 "<local>"

Sau khi chạy lệnh để đặt cấu hình máy chủ proxy, bạn phải thấy đầu ra giống như sau:

Current WinHTTP proxy settings:
    Proxy Server(s) :  proxy1:80
    Bypass List     :  local

 

Hoặc dùng lệnh gán cho card mạng của máy cá nhân phải chạy qua Proxy của IE:

Netsh winhttp import proxy source=ie

Sau khi chạy các lệnh trên bằng CMD / PowerShell (chạy ở chế độ Run as Administrator), hãy chuyển sang dùng các phần mềm như PowerShell, các ứng dụng soạn gửi email client, mailling list và chạy qua mạng có dùng Proxy .

 

Các bước sửa lai code script trong PowerShell để kết nối được giữa PowerShell (PS) với Microsoft Outlook Live (Exchange Online):

$webclient = New-Object System.Net.WebClient
$LiveCred = Get-Credential
$webclient.Proxy.Credentials = $LiveCred
$entry = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri
https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection
Import-PSSession $entry

# cho lệnh xử lý vào đây

 

# kết thúc các lệnh xử lý tại đây
Remove-PSSession $entry

Chúc các bạn thành công.

Cách cấu hình Microsoft Office Outlook kết nối Exchange Online thông qua sử dụng mạng Proxy


 

Trích hướng dẫn cấu hình bằng tay để tạo tài khoản kết nối từ Microsoft Office Outlook 2010 tới máy chủ Exchange Online của chương trình Live@edu hoặc Office 365.

Configure Outlook 2010 Manually with Exchange 2010

 
Configuration Steps

1. Create a new mail profile for Outlook 2010
Start -> Control Panel -> Mail -> Show Profiles -> Click Add.
Give this profile an appropriate name like Robusta TST.
2. Next a window will appear to configure your mail profile (see picture below).
Choose to Manually configure server settings or additional server types.

3. Choose E-mail Service (see picture below).
Select Microsoft Exchange.

4. Microsoft Exchange Settings (see picture below)
Microsoft Exchange Server: mail.myhostedservice.edu.vn
Use Cached Exchange Mode: This should be checked
User Name: Provided during your signup
Before Clicking Next, Choose More Settings.

6. After a few seconds a message is displayed:
“The action could not be completed. The connection to the Microsoft exchange server is unavailable. Outlook must be online or connected to complete this section.”
Click “OK”. A window with Microsoft Exchange Server name and Mailbox name pops up. Click “OK”.
7. A new dialog box will pop-up; Go to “Connection” tab. Check the box near “Connect to my Exchange mailbox using HTTP”
Note: This option will not show up if you don’t have the hot-fix installed. You should either have Service Pack 2
This will highlight the ‘Exchange Proxy Settings’

8. Click “Exchange Proxy Settings” and enter ex2010.myhostedservice.com
Check Box “Only connect to proxy servers that have this principal name or certificate”
Then enter msstd:ex2010.myhostedservice.com
Check Box for “On fast networks, connect using HTTP first, then connect using TCP/IP”
9. Choose “Basic Authentication” under Proxy authentication settings.

10. Click OK then Apply, click OK then Next and Finish
11. When starting Microsoft Office Outlook, use this profile select: “Prompt for a profile to be used” and click Apply
Open Outlook 2010 and launch the newly created profile.
***If there was a pre-existing mail profile, you can specify a default mail profile by opening the control panel, select the Mail icon, select Show Profiles, select Always Use this Profile and use the drop down box to specify the profile created above.

 

Tóm lại:

Thực tế, nếu bạn là người dùng Microsoft Office Outlook 2010/2007 và đang dùng các dịch vụ mail của máy chủ Exchange Server hoặc Exchange Online thì có rất nhiều phương thức kết nối qua các giao thức: HTTP, SMTP, POP, IMAP… giống như các dịch vụ mail thông thường khác.

Nhưng Microsoft còn có 1 phương thức kết nối khác, mạnh mẽ, thuận tiện hơn đó là kết nối Exchange Proxy, RPC hoặc Outlook Anywhere.

Mục đích: 

  • Sử dụng được dịch vụ kết nối nàysẽ giúp cho người dùng dễ dàng kết nối bằng Microsoft Office Outlook 2003,2007,2010,2013 tới Exchange Server nhanh chóng khai báo tài khoản chỉ là : Username (địa chỉ email) và Password (mật khẩu).
  • Bất kể là mạng nơi người dùng có đang sử dụng hình thức bảo mật, chia sẻ hay proxy mạng, thì người dùng đều không quan tâm, dễ dàng kết nối Exchange mail.

Cách làm: Người quản trị mạng dịch vụ email của hệ thống bên Doanh nghiệp/ Trường học phải:

  • Khai báo thêm thông tin bản ghi CNAME: Autodiscover của tên miền dịch vụ email
  • Gắn liền bản ghi Autodiscover.stu.myhostedservice.edu.vn với giá trị yêu cầu của máy chủ Exchange Server hoặc Exchange Online

Các bước thao tác khai báo Autodiscover trong Exchange Online của chương trình Live@edu hoặc Office 365:

  1. Truy cập web http://Eduadmin.live.com 
  2. Chọn mục Domains
  3. Bấm chọn tên miền đang dùng làm dịch vụ Mail Exchange Online
  4. Tìm đến mục: Recommended DNS record updates
  5. Chọn mục: Configure Outlook 2007 Client

Outlook_Exchange_Autodiscover

Hãy copy thông tin có trong mục Configure Outlook 2007 Client và cập nhật thông tin hướng dẫn đó vào trong máy chủ DNS đang quản lý tên miền của Doanh nghiệp, của Trường …

DNS_Autodiscover

 

Chúc các bạn thành công.

Dr. Lê Toàn Thắng

NOVA Digital

ROBUSTA TST

Thất bại do làm việc máy móc: configure Exchange Server 2007 use Outlook Anywhere via TMG 2010


 

Step 1. Test DNS External

https://www.testexchangeconnectivity.com

Result:

Testing RPC/HTTP connectivity.

The RPC/HTTP test failed.

Test Steps

ExRCA is attempting to test Autodiscover for admin@demomail.net.

Testing Autodiscover failed.

Step 2. Extent Expire for CA Service (4 years of Exchange Cert)

Current Exchange cert:

Check in DC:

image

Check in Webmail of Exchange mail

image

Current CA configures:

image

After CA configure:

image

After modify configure of CA Server:

image

Step 3. Renew Cert from Exchange 2007

New Cert request from IIS 6 of Exchange

image

image

image

image

image

image

image

image

image

 

DC submit new cert for Exchange 2007

Export file Cert for Exchange 2007

image

Save into folder c:\cert of DC

image

Import new file Cert for Exchange 2007

image

image

image

image

image

image

image

image

image

New Cert updated for Exchange 2007

image

Check web mail https in local Exchange 2007

image

 

Step 4. Export file Personal security of Exchange 2007 for TMG

Open Exchange 2007 MMC

image

image

image

image

image

image

image

image

-Export files Pfx of Exchange 2007 for TMG

image

image

image

Pass: Blabla123…

image

image

Export file cer from Exchange 2007

 

Step 5. Import 2 files pfx & cer of Exchange 2007 to TMG

Step 6. Update a rule external “OWA” open HTTP & HTTPS filter for Outlook Anywhere on TMG server

Step 7. Test again

Mẹo: Configure your Microsoft CA to issue a cert with a longer expiration time for Exchange Mail


Mỗi một (01) năm, dân quản trị mạng lại nháo nhào đăng ký lại chữ ký số (CA) cho máy chủ Web Portal, Email Exchange, Wifi – Access Point…

Hệ thống nào mà quên việc này coi như “troubleShooting biết chắc là không hẹn lại đến”,  để bớt mấy việc làm điên cái đầu các bạn Admin,  tôi sưu tầm và viết ra mấy bước “mẹo” để xử lý việc trên đây. Hãy dựa vào Microsoft Certificate Authority để  issues certs  và tăng thời gian bị hết hạn “expiration date” dài ra cỡ 3 – 4 năm thay vì chỉ được 1 year theo ngầm định. Dưới đây là các bước cơ bản làm trên máy chủ MS-CA windows server 2008 / R2:

http://support.microsoft.com/kb/254632

  1. Click Start, and then click Run.
  2. In the Open box, type regedit, and then click OK.
  3. Locate, and then click the following registry key:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. In the right pane, double-click ValidityPeriod.
  5. In the Value data box, type one of the following, and then click OK:
    • Days
    • Weeks
    • Months
    • Years

    .

  6. In the right pane, double-click ValidityPeriodUnits.
  7. In the Value data box, type the numeric value that you want, and then click OK. For example, type 10 (nhớ chuyển hệ Decimal).
  8. Stop, and then restart the Certificate Services service. To do so:
    1. Click Start, and then click Run.
    2. In the Open box, type cmd, and then click OK.
    3. At the command prompt, type the following lines. Press ENTER after each line.

      net stop certsvc
      net start certsvc

    4. Type exit to quit Command Prompt.

Bây giờ các bạn hãy gửi certreq.txt từ các máy chủ IIS (web) hoặc từ Exchange 2010/ IIS6 của Exchange 2007 tới máy chủ CA

Chúng ta sẽ có được các chữ ký CA issues certs với thời hạn sử dụng  4 years  thay vì chỉ được 1 năm.

%d bloggers like this: