Introducción

El Personal Archive Mailbox es un buzón de correo asociado a la misma cuenta de Active Directory que el buzón primario. Este buzón secundario reduce/reemplaza la necesidad de utilizar archivos PST, proveyendo seguridad y redundancia.

Se pueden aplicar políticas de retención al buzón primario, para que automáticamente se muevan al Archive los correosque excedan un tiempo determinado, configurado por el Administrador.

Este buzón secundario, o Archive, es accedido por el cliente desde Outlook Web App (OWA) o el mismo cliente de Outlook 2010 y 2007 (próximamente).

Novedades en SP1

Finalmente en Exchange 2010 existe la posiblidad de mover el Archive a una base de datos diferente de la primaria, sin embargo debe residir en el mismo Forest (salvo cuando se mueve a la nube).b

¿Cuál es fueron los motivos para este cambio?

1. Archive en la nube: De esta manera podemos tener los buzones primarios on-premise y el archive en la nube.
2. Administración: Las bases de datos de buzones (Mailbox Database) que almacenan buzones primarios y archives corren el riesgo de crecer incontroladamente, bases extremandamente grandes e imposibles de administrar.
3. Performace: Almacenar los archives en la misma base de datos que los buzones, acarrea impacto en performance y administración. Generalmente en el archive almacenamos información antigua, no crítica. ¿Tiene sentido almacenar esta información en el mismo storage donde las bases de buzones? ¿O es mejor configurar un storage más barato, con un SLA distitno para esta información?.
   Los buzones tienen un requerimiento de capacidad y rendimientos de discos. Estos requerimientos estan basados en acceso constante a los buzones. Un archive no tiene la misma frecuencia de acceso que un buzón, por lo tanto el requerimiento de calidad y rendimiento de discos es completamente distinto.
4. Costos de Storage: Asociado al punto anterior de performance.

¿Cómo reconfigurar los Archives?

Si la opción de Personal Archives ya fue implementada en la Organización, entonces tenemos dos alternativas para mover estos archives a otro disco o la nube:

Desde PowerShell

Utilizando el CMDLet New-MoveRequest que permite la administración del buzón y del Archive de manera independiente a través de los parámetros: PrimaryOnly, ArchiveOnly. Si ninguno de estos dos parámetros es especificado, entonces se utilizará el comportamiento del New-MoveRequest de versión RTM, es decir se mueve tanto el buzón Primario como el Archive, en el mismo proceso al mismo destino.

Desde Exchange Management Console

Desde la consola gráfica de Exchange, el proceso es el mismo que para mover un Buzón regular. En ese momento, al iniciar el asistente, las opciones de “Move only the user mailbox”, “Move only the archive mailbox” y “Move both the mailbox and the personal archive” aparecerán:

Hola a todos,

Para todos los que están planeando usar la funcionalidad de Archiving de Exchange 2010 en sus despliegues, ya deben saber que sólo se puede consultar el Archive Online desde Outlook 2010 y OWA.

Será una buena noticia, entonces, saber que habrá una actualización para el cliente Outlook 2007 para esta funcionalidad:

For those of you that have been holding your breath for this one, we’re also happy to let you know that in SP1 timeframe, there will be an update which will enable us to support access to a user’s Personal Archive with Outlook 2007.

Es un alivio saber sobre esta noticia! Para mucho de nosotros era un bloqueador de deployment del archiving de Exchange 2010.

>> Pablo Vernocchi

Muchos cuentan lo nuevo en Exchange 2010 SP1, sin embargo pocos cuentan lo que no está más

Veamos la lista de funcionalidad discontinuada en Exchange 2010 SP1 con su workaround correspondiente:

• Export-Mailbox e Import-Mailbox: Estos cmdlets fueron reemplazados en SP1 por Export Mailbox Request e Import Mailbox Request (Understanding Mailbox Import and Export Requests). Lamentablemente la documentación no está lista aún.
• Enable-AntispamUpdates: Con este cmdlet podíamos configurar si habilitábamos o no las actualizaciones de firmas de los agentes antivirus de Exchange. Ahora debemos usar Forefront Security for Exchange para poder actualizar los filtros de antispam.
• Federated delivery: Fue reemplazado por Tenant Mail Flow Control.
• ISInteg: ISInteg está integrado dentro del producto pero en la forma de cmdlet en vez de un ejecutable por separado. Ahora podremos invocarlo desde New-MailboxRepairRequest o New-PublicFolderDatabaseRepairRequest.
• Managed Folders en la consola MMC: Ahora las configuraciones deberán realizarse por el Exchange Management Shell (PowerShell).

Y? Qué esperas para actualizar a SP1?

>> Pablo Vernocchi

Finalmente lo tenemos! El SP1 está disponible para descarga en la versión final (RTM) desde las siguientes URLs:

Microsoft Exchange Server 2010 Service Pack 1 (SP1)

Exchange Server 2010 SP1 UM Language Packs

>> Pablo Vernocchi

Circular Logging, o registro circular es una configuración para truncar Transaction Logs que ya fueron comiteados a la base de datos, replicados, inspeccionados y aplicados a bases de datos pasivas y lagueadas.

Continuous  Replication Circular Logging está recomendado únicamente si el despliegue de Exchange 2010 cuenta con múltiples copias de las bases de datos de Mailbox, incluyendo copias lagueadas y no se está realizando copia de seguridad de las mismas. De esa manera es como se logra una Organización de Exchange Backup-less.

En cambio, si ya se están tomando resguardos (backups) de las bases de datos, el mismo proceso de backup se encarga de truncar (purgar) los logs que ya fueron resguardados, en ese escenario no se debe habilitar Circular Logging.

Para mayor información sobre Circular Logging y Organizaciones de Exchange sin backup, les recomiendo chequear el siguiente link:

http://technet.microsoft.com/en-us/library/dd876874.aspx (inglés)

http://technet.microsoft.com/es-ar/library/dd876874.aspx (español)

Además, el grupo de producto publicó un artículo con mayor información sobre Circular Logging y backups VSS en: Exchange Circular Logging and VSS Backups

>> Pablo Vernocchi

Hola a todos,

Estos últimos días estuve realizando cambios sobre la plataforma del Blog. Sí, sigue siendo WordPress , pero en un plan del Hosting completamente distinto.

Es por eso que hoy a la mañana hubo disrupción del servicio.

También cambió la URL del blog, antes era http://www.eseutil.net/blog y hoy es http://www.eseutil.net solo.

A quienes tengan configurado los feeds RSS, también cambiaron y la nueva dirección es: http://www.eseutil.net/feed

Gracias y sepan disculpar las molestias.

>> Pablo Vernocchi

Muchas veces, tanto en Workshops como en proyectos, los clientes se acercan para consultarme cuál es el comportamiento que tienen los clientes Outlook soportados en Exchange 2010 ante un failover/switch-over y activación de Datacenters de contingencia.

Alta disponibilidad en un único Datacenter:

Este es el escenario más simple. Desplegamos nuestra topología de Exchange 2010 compuesta por un CAS Array y un DAG de Exchange 2010 con las bases replicadas en X cantidad de Mailbox Servers. Los perfiles apuntan al Cas Array.

Todos los clientes de Outlook (2003, 2007 y 2010) se comportan de la misma manera en un escenario de alta disponibilidad en un único Datacenter: No hay modificaciones en el perfil de Outlook, ni requiere internvención manual.

Activación de bases de datos a través de sitios (Cross Site)

Supongamos el hipotético caso de un escenario donde se requiera alta disponibilidad local y, además, un sitio de contingencia remoto. Este escenario se podría diagramar de la siguiente manera (el que me roba el gráfico, le corto los dedos):

En este escenario tendríamos un DAG distribuído en dos datacenters, con un CAS Array para cada Datacenter, Hub Transport y Global Catalogs (que no los dibujé). Para reducir los backups, en el datacenter de contingencia, el servidor MBX-D aloja una base de datos lagueada.

En el caso que la base hosteada en MBX-B hiciese switch over al servidor MBX-A, estaríamos en el caso anterior, donde la conectividad se mantiene dentro del mismo Datacenter y del mismo Cas Array.

¿Qué pasaría si la base se activara en MBX-C?
En este escenario, tanto el Outlook 2003, el 2007 y el 2010 se conectarían a la base de datos del servidor MBX-C a través del servidor CAS-Pri. No habría cambio alguno en los perfiles de los usuarios, ni tampoco impactaría a los mismos.

Los clientes Outlook sólo usarían CAS-Sec si no pudieran conectarse al CAS-Pri, haciendo failover de Cas Array, y ahí él problema estaría en los clientes Outlook 2003, ya que tanto Outlook 2007 como 2010 descubrirían el otro CAS por Autodiscover. Una reparación del perfil de Outlook 2003 cambia el servidor de conexión y resuelve el problema.

Dentro de las propiedades de las bases de datos, podemos asignar cuál es el CAS Array que va a dar conexión a esa base de datos. Suponiendo una activación de la base del MBX-B al MBX-C, podríamos cambiar esa propiedad de la base de datos, y esperaríamos que los clientes de Outlok 2007 y 2010 se conecten a esa base a través del CAS-Sec. Esto no va a suceder, lamento informarles, al menos no hoy con las versiones de Outlook que hay disponbiles. Este cambio de CAS Array podría ser corregido en Outlook 2010 SP1, pero no hay nada confirmado aún.

Activación del Datacenter de contingencia

Si durante la fase de diseño hicimos las cosas bien, en cuanto a diseño de espacio de direcciones y certificados SSL respecta, entonces pasar al Datacenter de contingencia se simplifica a un cambio de registros DNS, cambiando el registro DNS del CAS Array del Datacenter primario al secundario.

>> Pablo Vernocchi

Alerta de Seguridad Microsoft

Estimado Cliente de Microsoft:

Lamentamos molestarlo para informarles sobre un nuevo boletín de seguridad que ha sido liberado (fuera de programación) el día 2 de Agosto de 2010. Hemos decidido salir de la programación habitual (segundo martes de cada mes) debido a que hemos detectado intentos de explotación de esta vulnerabilidad y creemos firmemente que esta actualización fuera de programa es la mejor decisión para ayudar a proteger a nuestros clientes y socios.

Esta actualización se centra en una vulnerabilidad de seguridad en todas las ediciones soportadas de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2, las cuales ya han sido explotadas por ataques de malware.

Es importante mencionar que hasta este momento no se han detectado o reportado ataques en América Latina.

RESUMEN EJECUTIVO DEL BOLETIN

La versión completa del Boletín de Seguridad Avanzado programado para Agosto 2 puede ser consultada en http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx.

Recursos relacionados con esta alerta

· Microsoft Security Response Center (MSRC) Blog: http://blogs.technet.com/msrc/

· Microsoft Security Research & Defense (SRD) Blog: http://blogs.technet.com/srd/

· Microsoft Malware Protection Center (MMPC) Blog: http://blogs.technet.com/mmpc/

· Microsoft Security Development Lifecycle (SDL) Blog: http://blogs.msdn.com/sdl/

SOBRE LA CONSISTENCIA DE LA INFORMACION

En Microsoft hacemos el mayor esfuerzo por proveerle con información exacta tanto en contenidos estáticos (este e-mail) como en contenidos dinámicos (en sitios web). Los contenidos de Seguridad que Microsoft publica en sus sitios web son ocasionalmente actualizados para reflejar información de último momento. Si esto resulta en una inconsistencia entre esta información y la de los contenidos de seguridad de los sitios web de Microsoft, la información de los sitios web es la que debe ser tomada en cuenta.

Agradeciendo su atención nos reiteramos a sus órdenes,

Equipo de Seguridad Informatica Microsoft Argentina y Uruguay

En alguna oportunidad, escribí algunas palabras sobre el servicio de Autodiscover (incluído en Exchange 2007 y 2010). En este link podrán encontrar la referencia anterior (http://www.eseutil.net/autodiscover-a-fondo).

Supongamos mi Organización de Exchange, donde hosteo los dominios SMTP eseutil.net y vernocchi.com.ar. En esta organización tengo tanto usuarios de un dominio como del otro.

Si un usuario de vernocchi.com.ar intentara conectarse a Autodiscover lo hará por las siguientes URLs:

https://autodiscover.vernocchi.com.ar/Autodiscover/Autodiscover.xml

https://vernocchi.com.ar/Autodiscover/Autodiscover.xml

Mientras que un usuario de eseutil.net, al conectarse, intentará iniciar sesión a:

https://autodiscover.eseutil.net/Autodiscover/Autodiscover.xml

https://eseutil.net/Autodiscover/Autodiscover.xml

¿Cuál es el desafío en este escenario?

Ambas URLs apuntan al mismo sitio web, y sólo se puede tener un único certificado por sitio Web. En este escenario, claramente tenemos URLs distintas, por lo que nuestros clientes recibirían un error en los Outlook 2007 y 2010. En este escenario tenemos varias alternativas, ya que las configuraciones por default no alcanzan.

Existen, básicamente, 4 escenarios soportados:

1. Utilizar un certificado que soporte varios nombres (SAN Certificate, o Subject Alternate Name Certificates, o comunmente los podemos encontrar como UC Certificate).
2. Utilizar un certificado SSL clásico, estándar, de un sólo nombre.
3. Utilizar dos certificados SSL clásicos, estándar, de un sólo nombre.
4. Utilizar Autodiscover con Redirects HTTP de IIS.

Dentro de cada uno de estos escenarios, existen varias alternativas que vamos a cubrir una por una.

Utilizar un certificado que soporte varios nombres (SAN Certificate)

Esta es la solución más simple, sin embargo una de las más costosas. Un SAN Certificate cuesta casi 3 veces más que un certificado estándar.

En este casi este certificado podría ser válido para Autodiscover, Webmail, EWS, ActiveSync, etc. Cada URL nueva, es una entrada en el certificado.

Utilizar un certificado SSL clásico, de un sólo nombre

Esta es la alternativa más barata.

Este método consiste en apuntar tanto las InternalURL como ExternalURL al mismo nombre. De esta manera todo apunta a un único nombre y no necesitaríamos más de un certificado (proceso descrito en Security warning when you start Outlook 2007 and then connect to a mailbox that is hosted on a server that is running Exchange Server 2007 or Exchange Server 2010: "The name of the security certificate is invalid or does not match the name of the site").

Adicionalmente, tenemos que informarle de alguna manera al cliente Outlook 2007 ó 2010 que la URL de Autodiscover no será https://autodiscover.dominio.com/Autodiscover/Autodiscover.xml sino que será https://webmail.dominio.com. Esto lo podemos hacer a través de un registro SRV (Service Locator).

Entonces, en este caso, el registro SRV debería quedar algo así como:

_autodiscover._tcp.vernocchi.com.ar SRV service location:
          priority       = 0
          weight         = 0
          port           = 443
          svr hostname   = webmail.vernocchi.com.ar

Y:

_autodiscover._tcp.eseutil.net SRV service location:
          priority       = 0
          weight         = 0
          port           = 443
          svr hostname   = webmail.vernocchi.com.ar

Utilizar dos certificados SSL clásicos, estándar, de un sólo nombre

En este escenario, se debería crear un sitio web para cada dominio nuevo a servir dentro de Exchange 2007/2010. Es uno de los que menos recomiendo ya que cada vez que se da de alta un nuevo dominio SMTP, se tendría que dar de alta un sitio web para Autodiscover, configurarlo con una dirección IP diferente al resto y adquirir un nuevo certificado SSL.

Es el que más overhead administrativo tiene de todas las alternativas.

Utilizar Autodiscover con Redirects HTTP de IIS

Este tipo de despliegues es y probablemente será la solución ideal para los escenarios de Hosting, ya que no todos los servidores DNS públicos aceptan registros SRV.

Consiste en crear un certificado estándar en el Default Website y crear un nuevo sitio web,  sin certificado, y ahí configurar un redirect al default website.

>> Pablo Vernocchi

En las últimas horas se detectó un issue con los dispositivos iPhone, iPod Touch, iPAD que corren la versión 4 de iOS y Exchange ActiveSync.

Esta nueva versión de sistema operativo para los dispositivos de Apple agrega un cambio al timeout de request de 4 minutos a 30 segundos, e inmediatamente los dispositivos dejan de sincronizar.

Apple también advierte que los administradores de Exchange pueden notar que los servidores corran más lento.

Para corregir este bug, Apple publicó un workaround en http://support.apple.com/kb/TS3398 y publicará la corrección definitiva en una actualización (nuevo release), que no tiene tiempo estimado de lanzamiento aún.

>> Pablo Vernocchi