Ivan Salvade’

Il mio punto di vista su Virtualizzazione, Sicurezza, Messaggistica, Network Management…

  • Ivan

    248418_467427256623661_1655875885_n.jpg
  • Abbonati

  •  

    novembre 2017
    L M M G V S D
    « gen    
     12345
    6789101112
    13141516171819
    20212223242526
    27282930  
  • Tag Cloud

Conoscere i domain controller usati da Exchange

Scritto da Ivan Salvade' il 18 settembre 2013

E’ spesso utile conoscere i domain controller che un server Exchange sta utilizzando, in un certo momento.

Per esempio, durante una migrazione di Active Directory, durante la quale vengono installati nuovi domain controller, oppure vengono rimossi quelli vecchi, è utile sapere se Exchange ha già iniziato a contattare i domain controller nuovi.

Un comando di powershell utile a questo scopo è il seguente :

Get-ExchangeServer -Status | FL Name,Current*

Ecco l’esecuzione del comando in un ambiente con diversi server Exchange in esecuzione :

1.jpg      (Clicca sulla foto per ingrandire)

Il comando restituisce i domain controller utilizzati dai vari server Exchange.

Nella colonna “CurrentDomainControllers” sono riportati i domain controller utilizzati per eseguire le normali query LDAP a porta 389.

Nella colonna “CurrentGlobalCatalogs” sono riportati i domain controller con funzione di Global Catalog, utilizzati per eseguire query LDAP alla porta 3268.

Nella colonna “CurrentConfigDomainController” è riportato il domain controller scelto per eseguire letture e scritture sulla Configuration Partition di Active Directory : per esempio, la Configuration Partition di AD viene modificata in tutti i casi in cui si eseguono modifiche all’Organizzazione Exchange.

Ricordo che Exchange Server è in grado di gestire autonomamente il discovery dei domain controller, attraverso il proprio servizio DSAccess.  Quest’ultimo entra in esecuzione ogni 15 minuti circa, registrando nel log Applicazione gli eventi con codice 2080 contenenti l’elenco dei domain controllers trovati in rete.

  • Share/Bookmark

Pubblicato in Exchange Server 2007, Exchange Server 2010, Exchange Server 2013 | Nessun commento »

Event ID 13 - Autoenrollment dei certificati di tipo Domain Controller

Scritto da Ivan Salvade' il 10 maggio 2011

Su un Domain Controller Windows Server 2003 SP1 o successivi, inserito in un dominio con la Certification Authority installata su un differente server, è possibile la ripetuta comparsa (ogni 8 ore circa) nell’Application Log del seguente errore :

snag-0005.jpg

L’errore è causato dagli avanzamenti di sicurezza del protocollo DCOM, introdotti dal SP1 di Windows Server 2003.

Il protocollo DCOM è utilizzato dai Servizi Certificati per le operazioni di amministrazione e di rilascio dei certificati.   Numerose interfacce DCOM sono fornite dai Servizi Certificati per rendere eseguibili le suddette operazioni, ed i Servizi Certificati presuppongono che queste interfacce DCOM siano impostate con le necessarie autorizzazioni per permettere le chiamate remote (”Remote Activation”) verso di loro.

Gli avanzamenti di sicurezza del protocollo DCOM prevedono la creazione del gruppo di sicurezza “CERTSVC_DCOM_ACCESS” (in Active Directory, come gruppo di tipo Domain Local, se la Certification Authority è installata su un Domain Controller, oppure nel database locale di sicurezza, come gruppo locale, se la Certification Authority è installata su un server membro).  Di questo gruppo devono far parte tutti gli account con diritto di richiesta/rilascio dei certificati.   Per vari motivi, la membership di questo gruppo potrebbe non essere correttamente modificata. 

In questo caso, eseguire le seguenti operazioni :

  1. Inserire nel gruppo CERTSVC_DCOM_ACCESS il gruppo ”Domain Controllers”
  2. Sulla Certification Authority, aggiornare i settaggi di sicurezza DCOM con i seguenti comandi :
    • Certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    • net stop certsvc
    • net start certsvc

Al termine delle operazioni, al successivo ciclo di richiesta dei certificati, dovrebbe apparire il seguente evento informativo al posto dell’errore 13 :

snag-0006.jpg

  • Share/Bookmark

Pubblicato in Sicurezza | Nessun commento »

Come interpretare l’Event ID 2080 su Exchange Server 2010

Scritto da Ivan Salvade' il 12 marzo 2011

Exchange Server 2010 è composto da parecchi servizi che richiedono un accesso costante ai servizi di Active Directory.  Esiste un componente che ha il compito di ottimizzare le comunicazioni tra i vari servizi di Exchange e Active Directory : il DSAccess (Directory Service Access), rappresentato dalla DLL “DSAccess.dll”, presente in “C:\Program Files\Microsoft Exchange Server\V14\Bin”.

Il compito principale di DSAccess è quello di tenere continuamente traccia della topologia di Active Directory, e comunicare eventuali variazioni ai servizi di Exchange.  In particolare, DSAccess si occupa di :

  • venire a conoscenza di cambiamenti nella struttura dei Siti di Active Directory
  • venire a conoscenza dell’aggiunta o rimozione di Domain Controller
  • venire a conoscenza dell’aggiunta o rimozione dei Global Catalogs
  • venire a conoscenza del cambiamento di indirizzo IP di Domain Controller e Global Catalogs
  • venire a conoscenza di Domain Controller o Global Catalogs non più operativi

DSAccess esegue questi controlli ogni 15 minuti, oppure al restart del servizio “Microsoft Exchange Active Directory Topology” (MSExchangeADTopology) o del servizio “Microsoft Exchange System Attendant” (MAD.exe).

Gli esiti dei controlli sono sempre riportati negli eventi informativi con codice 2080 e sorgente “MSExchange ADAccess”, che ripetutamente compaiono in Application Log.

img1320450000.jpg

I dettagli di questi eventi sono utili a diversi servizi di Exchange per avere informazioni sui Domain Controller presenti in rete.  I servizi che utilizzano DSAccess sono i seguenti :

  • Microsoft Exchange Active Directory Topology (MSExchangeADTopology - MSExchangeADTopologyService.exe)
  • Microsoft Exchange Information Store (MSExchangeIS - Store.exe)
  • Microsoft Exchange System Attendant (MSExchangeSA - Mad.exe)
  • Microsoft Exchange Forms-Based Authentication (MSExchangeFBA - Exfba.exe)

Altri servizi (non di Exchange) potrebbero utilizzare DSAccess (per esempio il servizio WWW, World Wide Web Publising Service).

Nella seguente figura, viene mostrata una schermata di Process Explorer (strumento della Sysinternals) dove si evidenziano tutti i processi che utilizzano DSAccess.dll.   La stessa informazione si potrebbe ottenere con il comando :

Tasklist -m DSAccess.dll

img1316000000.jpg

E’ molto utile saper interpretare gli eventi 2080, in particolare le stringhe alfanumeriche posizionate a destra dei nomi dei Domain Controller.  Ecco un esempio di evento :

snag-0001.jpg

In questa figura, DSAccess ha rilevato la presenza di 3 domain controller.  Ogni riga descrive le caratteristiche dei domain controller.  Ecco l’interpretazione :

  • dc.dominio : Nome server : nome del domain controller (oscurato nella figura)
  • CDG : Ruoli : indica se il domain controller può essere utilizzato come Configuration domain controller (C), normale domain controller (D), global catalog server (G). La presenza delle lettere indica la disponibilità della funzione, la presenza di un trattino (-) indica che il domain controller non dispone di quella funzione.  Nell’esempio della figura, tutti i domain controller hanno tutte e tre le funzioni
  • 1 : Abilitato : indica se il domain controller è abilitato (1) oppure no (0) ad essere interrogato dal server Exchange
  • 7 : Accessibilità : indica se il domain controller è raggiungibile con una connessione TCP, e a quali servizi e a quali porte. I valori possibili sono i seguenti :
    • 0 : non raggiungibile su nessuna connessione TCP 
    • 1 : raggiungibile come Global Catalog alla porta 3268
    • 2 : raggiungibile come domain controller alla porta 389
    • 3 : raggiungibile come Global Catalog (3268) e domain controller (389)
    • 4 : raggiungibile come Configuration domain controller alla porta 389
    • 5 : raggiungibile come Global Catalog (3268) e Configuration domain controller (389)
    • 6 : raggiungibile come domain controller e Configuration domain controller (389)
    • 7 : raggiungibile in tutti i suoi servizi
  • 7 : Sincronizzato : indica se il domain controller è sincronizzato in maniera completa con gli altri, relativamente ai servizi che è in grado di offrire. I valori possibili sono i seguenti :
    • 0 : non sincronizzato in nessun servizio 
    • 1 sincronizzato come Global Catalog
    • 2 : sincronizzato come domain controller
    • 3 : sincronizzato come Global Catalog e domain controller
    • 4 : sincronizzato come Configuration domain controller
    • 5 : sincronizzato come Global Catalog e Configuration domain controller
    • 6 : sincronizzato come domain controller e Configuration domain controller
    • 7 : sincronizzato completamente in tutti i suoi servizi
  • 1 : Supporto GC : indica se il domain controller è un Global Catalog (1) oppure no (0)
  • 0 : PDC : indica se il domain controller è un primary domain controller per il suo dominio (1) oppure no (0)
  • 1 : Diritto SACL : indica se il servizio DSAccess del domain controller ha le corrette autorizzazioni per leggere le SACL (System Access Control List) durante le interrogazioni ad Active Directory (1 = autorizzato, 0 = non autorizzato)
  • 1 : Dati critici : indica se DSAccess ha trovato il server Exchange nella Configuration Partition di Active directory sul domain controller indicato nella colonna “Nome Server” (1 = trovato, 0 = non trovato)
  • 7 : Netlogon : indica se DSAccess si è connesso con successo al servizio Netlogon del domain controller, relativamente ai servizi che il domain controller offre. I valori possibili sono :
    • 0 : connessioni a Netlogon non riuscite 
    • 1 connessione a Netlogon come Global Catalog
    • 2 : connessione a Netlogon come domain controller
    • 3 : connessione a Netlogon come Global Catalog e domain controller
    • 4 : connessione a Netlogon come Configuration domain controller
    • 5 : connessione a Netlogon come Global Catalog e Configuration domain controller
    • 6 : connessione a Netlogon come domain controller e Configuration domain controller
    • 7 : connessione a Netlogon con tutti i suoi servizi
  • 1 : Versione sistema operativo : indica se il domain controller sta eseguendo almeno Windows 2000 Server SP3 (requisito minimo per i server Exchange 2003 e successivi).  Valore 1 = sì, valore 0 = No

Guardiamo un’altra figura di esempio :

img1321220000.jpg

Questo è un tipico esempio in cui un domain controller (il terzo) non risulta raggiungibile, tipicamente perchè spento o non connesso alla rete.

Il servizio DSAccess è totalmente dinamico ed è in grado di garantire il failover : se un domain controller diventa per qualche motivo irraggiungibile, DSAccess riesce ad indirizzare il server Exchange verso un altro domain controller (o global catalog) disponibile.   Ciò è vero finchè si lasciano le impostazioni al loro default (ovvero, se si lascia gestire in automatico ad Exchange la topologia di Active Directory).

E’ possibile indicare ad Exchange di utilizzare “staticamente” dei domain controller di nostra scelta : in questo caso, però, se quei domain controller diventano irraggiungibili, non viene eseguito il failover verso altri.

Per impostare staticamente la lista di domain controllers da utilizzare, è possibile utilizzare uno o più dei seguenti comandi di EMS (Exchange Management Shell) :

  • Set-ExchangeServer -id “NomeServerExchange” -StaticDomainControllers DC1,DC2,DC3 (…)
  • Set-ExchangeServer -id “NomeServerExchange” -StaticConfigDomainController DC1    (solo un DC è utilizzzabile con questo parametro)
  • Set-ExchangeServer -id “NomeServerExchange” -StaticGlobalCatalogs GC1,GC2,GC3 (…)
  • Set-ExchangeServer -id “NomeServerExchange” -StaticExcludedDomainControllers DC1,DC2,DC3 (…)

Per visualizzare gli attuali domain controller utilizzati da Exchange, utilizzare il seguente comando :

Get-ExchangeServer -id “NomeServerExchange” -Status | FL

  • Share/Bookmark

Pubblicato in Exchange Server 2010 | Nessun commento »

 
Usiamo i cookie per assicurarti la migliore esperienza di navigazione nel nostro sito web.
Ok