Точнее не проблема, а долбоёбство.

Дано: истекающий сертификат для SMTP, подписанный своим CA (standalone).

Идём в IIS, выписываем себе новый запрос на сертификат, обрабатываем его в CA, импортируем сам сертификат. Ура.

Требуется: приучить эксчейнж к горшку. Т.е. дать ему использовать этот сертификат.

Совершенно очевидно, что новый сертификат указывается с помощью команды Enable-Certificate (ну очевидно же, что не Import, не New, не Get, а больше у нас ничего и нету), с указанием нового сертификата по его Thumbprint.

Обожаю. Просто обожаю. Особо обожаю то, что в поле service для SMTP надо писать SMTP, для IMAP надо писать IMAP, для POP3 надо писать POP3, а для HTTPS надо писать IIS.

Тривиальное (по-буржуйски, чтобы гуглилось)

Trouble:

When trying to change mailflow settings (e.g. make mail forward to other user), message:

------
Microsoft Exchange Error
-------
The following error(s) occurred while saving changes:

set-mailbox
Failed
Error:
An Exchange 2007 server on which 
an address list service is active cannot be found.




-------
OK
-------

Solution:

Check if Microsoft System Attendant service is running..

10 минут незабываемого секса: пользователю пишут, что у него неправильный логин/пароль при заходе в OWA. Итог: нужно разрешение на логин с той машины, с которой авторизуются в OWA. Особую прелесть в этом вопросе добавляет прокси-сервер.

Итак, дана ситуация: после миграции с Exchange 2003 на 2007 у одного-единственного пользователя не фильтруется спам. В письме есть пометка о том, что мол, спам-спам-спам (см предыдущее исследование), однако, письмо валяется во входящих.

Профили пересоздавал, настройки спамобойки клиента перелазил все.

Настройки SCLJunkTreshold триста раз дёргал.

Однако, нифига. Даже с SCL 9 у спама и treshold 2 у клиента.

Проблема "решилась" ...м.. очень прямым методом: у пользователя ящик был disabled, после чего был создан пользователь mailfix с ящиком. Ящик тоже был disabled. Ящики из disabled mailboxes были подцеплены крест-накрест (т.е. mailfix -> пользователь, пользователь ->mailfix).

После чего спамоловка резко заработала у пользователя и отвалиалась у mailfix. Mailfix был отключен от любых реальных емейлов (т.е. спам ему не будет приходить).

А сейчас я сижу и вручную копирую папки из одного ящика в другой (разрешения поправил). Увлекательно. Люблю. Майкрософт. Пламенно.

Подбивают меня тут сотрудники к увеличению размер квоты на размер письма... Попробовал я... Знаете, такими темпами, скоро придётся внедрять cloud computing для конвертирования (страшно сказать!) 50Мб в mime и добавления в базу.

Ну, ладно там эти 50Мб в mime минуту конвертятся. Допустим. Но реакция эксчейнжа на письма такого размера явно неадекватная. Совсем неадекватная. 50Мб на современных винтах - это 1с. Максимум 2. С учётом, что базы, логи, и SMTP queue разнесены по разным (физически) рейдам, то делать ТАКИЕ тормоза такой интенсивности.

Фи. Фи. Фи.

С другой стороны 50Мб я разрешать не буду точно. Три-четыре энузиаста сервак положат в состояние анальной оккупации. Во всяком случае одно 50Мб письмо вызывает disk queue под 0.5 для трёх рейдов одновременно. А оверлоад выше единицы - это уже реальные, неиллюзорно расовые лаги.

(шутка).

Если серьёзно, то эксчейнж очень много кушает памяти. Если быть точным, то его алгоритм (без шуток) раздувать размер кеша (с выгрузкой части в своп) до тех пор, пока число дисковых операций со свопом не станет больше числа дисковых операций с хранилищем. (жрать пока лезет). Пруфлинк [http://msexchangeteam.com/archive/2008/08/06/449484.aspx].

Алгоритм, в принципе (если эксчейнж только почтой занят) не самый плохой. Если же вы хотите от вашего 3-5 килобаксового сервера не только эмулятора сендмейла, но и ещё разумной деятельности, то аппетиты надо ограничивать. Замечу, ограничение (теоретически) скажется на производительности сервера в обслуживании запросов клиентов. На практике - думайте сами. С моим числом клиентов, винты с задачей справятся на 100%, а память мне ещё для виртуальных машин нужна.

Так что: [http://support.microsoft.com/default.aspx/kb/815372].

Лучше чем тут написано, не скажу, а в кратце: поменять максимальный размер используемой памяти для кеша (считая в 8к страницах) можно через ADSIedit (параметр msExchESEParamCacheSizeMax) в свойствах сервера.

Сейчас я у себя поставил 4Гб (524288 страниц), посмотрим что будет к вечеру.

Про это невнятно пишут, но для бэкапа почты достаточно Exchange View-Only Administrator. (проверяю, но вероятнее всего, именно так).

Букакэ: It's all fun until someone loose an eye...

Только что увидел базу active directory c контроллера домена через outlook web access (\\domain-controller.domain.ru\d$\active directory\ntds.dit). Скачать/удалить невозможно (файл заблокирован). Но это не меняет опасность менее страшных вещей (\\domain-controller.domain.ru\c$, например).

Реально страшно. Выключаю фичу до 100% понимания кому что можно, как сделать, чтобы было не можно и где фиксируется доступ.

PS Ух. Первый раз вижу, чтобы открывая дырку в безопасности её закрывали ещё до начала экспуатации. В режиме по-умолчанию стоит block для неизвестных серверов - и пустой список разрешённых.

Жаль, на уровне шар нельзя контролировать именно доступ через OWA (Т.е. ограничить пользователю доступ к шарам через OWA больше, чем в с рабочего места).

Обнаружил, что забыл про главное - антиспам. Его включать в эксчейнже надо руками (по-умолчанию выключен).

http://technet.microsoft.com/en-us/library/bb201691.aspx

параметр -MaxThreads 1 (или 2) существенно ускорит работу с временным сервером (на котором нет никаких мега-супер-рейдов)

Итак, я на работе. Сервер вне домена, дрова на флешке, дрова к рейду на USB-FDD.

Последняя проверка, не забыл ли чего - и в рейд. Т.е. в биос рейда. Пересоздавать рейд.

Пересоздаю.

Цитата: Select 'YES' if desired so. Intel Raid

Фраза, над которой можно медитировать. Не хватает только 'thou'.

В настоящий момент схема рейда выглядит следующим образом (оказалось, что на сервере на два винта больше - подключены к встроенному на мамку Embedded Server Raid):

ESR:
RAID 1 (2x200) - System Volume (Adaptive read, write cache). Врайткеш временный, будет выключен по окончанию установки.

SRS16 (внешний рейд):

RAID 1 (2x200) - DATA (Adaptive read, no write cache).
RAID 1 (2x200) - LOG (no read ahead, no write cache).

2x200 (интеловские рейды умеют делать несколько волюмов):
16 Гб - RAID1 (read ahead, write cache) - SWAP
16 Гб - RAID0 (adaptive read, write cache) - копии дистрибьютивов установленного всего.
~160 Гб - RAID1 (adaptive read, no write cache) - всё остальное (мало ли, пригодится).

От хотспаре винта я отказался - всё равно его толком не заменить. Надо будет подумать о том, как организовать LCR (local continius replication). Интересно, он его на сетевой диск писать может?