Как я обновлял exchange 2010 до 2016

[quake]

Вывод настроек Outlook Anywhere - Get-OutlookAnywhere. Везде NTLM но не работает

RunspaceId : 42bb9724-097b-4253-9fc1-b3518244463c
ServerName : MAIL
SSLOffloading : False
ExternalHostname : mail.reverend.ru
InternalHostname :
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods : {Ntlm}
XropUrl :
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : False
MetabasePath : IIS://MAIL.REW.Local/W3SVC/1/ROOT/Rpc
Path : C:\Windows\System32\RpcProxy
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags : {}
ExtendedProtectionSPNList : {}
AdminDisplayVersion : Version 14.3 (Build 123.4)
Server : MAIL
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Rpc (Default Web Site)
DistinguishedName : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=MAIL,CN=Servers,CN=Exchange Administrative Grou
p (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=REW,CN=Microsoft Exchange,CN=Services,CN=Configur
ation,DC=REW,DC=Local
Identity : MAIL\Rpc (Default Web Site)
Guid : 86bb5b97-c008-4ecb-8be5-7e9f0c03e013
ObjectCategory : REW.Local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
ObjectClass : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
WhenChanged : 12.06.2020 8:11:38
WhenCreated : 03.12.2012 15:34:31
WhenChangedUTC : 12.06.2020 5:11:38
WhenCreatedUTC : 03.12.2012 11:34:31
OrganizationId :
Id : MAIL\Rpc (Default Web Site)
OriginatingServer : SDC.REW.Local
IsValid : True
ObjectState : Changed

RunspaceId : 42bb9724-097b-4253-9fc1-b3518244463c
ServerName : MAIL1
SSLOffloading : True
ExternalHostname : mail.reverend.ru
InternalHostname : mail.reverend.ru
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods : {Ntlm}
XropUrl :
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : True
MetabasePath : IIS://mail1.REW.Local/W3SVC/1/ROOT/Rpc
Path : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\rpc
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags : {}
ExtendedProtectionSPNList : {}
AdminDisplayVersion : Version 15.1 (Build 1913.5)
Server : MAIL1
AdminDisplayName :
ExchangeVersion : 0.20 (15.0.0.0)
Name : Rpc (Default Web Site)
DistinguishedName : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=MAIL1,CN=Servers,CN=Exchange Administrative Gro
up (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=REW,CN=Microsoft Exchange,CN=Services,CN=Configu
ration,DC=REW,DC=Local
Identity : MAIL1\Rpc (Default Web Site)
Guid : 6ca80824-de65-495c-b0d0-48715b764173
ObjectCategory : REW.Local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
ObjectClass : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
WhenChanged : 21.06.2020 10:17:10
WhenCreated : 11.06.2020 20:25:29
WhenChangedUTC : 21.06.2020 7:17:10
WhenCreatedUTC : 11.06.2020 17:25:29
OrganizationId :
Id : MAIL1\Rpc (Default Web Site)
OriginatingServer : SDC.REW.Local
IsValid : True
ObjectState : Changed

RunspaceId : 42bb9724-097b-4253-9fc1-b3518244463c
ServerName : MAIL2
SSLOffloading : True
ExternalHostname : mail.reverend.ru
InternalHostname : mail.reverend.ru
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods : {Ntlm}
XropUrl :
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : True
MetabasePath : IIS://mail2.REW.Local/W3SVC/1/ROOT/Rpc
Path : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\rpc
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags : {}
ExtendedProtectionSPNList : {}
AdminDisplayVersion : Version 15.1 (Build 1913.5)
Server : MAIL2
AdminDisplayName :
ExchangeVersion : 0.20 (15.0.0.0)
Name : Rpc (Default Web Site)
DistinguishedName : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=MAIL2,CN=Servers,CN=Exchange Administrative Gro
up (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=REW,CN=Microsoft Exchange,CN=Services,CN=Configu
ration,DC=REW,DC=Local
Identity : MAIL2\Rpc (Default Web Site)
Guid : b1a8e586-139a-4039-99ca-249834d79800
ObjectCategory : REW.Local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
ObjectClass : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
WhenChanged : 21.06.2020 8:27:13
WhenCreated : 11.06.2020 21:41:52
WhenChangedUTC : 21.06.2020 5:27:13
WhenCreatedUTC : 11.06.2020 18:41:52
OrganizationId :
Id : MAIL2\Rpc (Default Web Site)
OriginatingServer : SDC.REW.Local
IsValid : True
ObjectState : Changed

 

[quake]

Понял что расколбасил настройки виртуальных директорий. Пришлось искать настройки виртуальных директорий Exchange 2016 по умолчанию

Virtual directory	Authentication method	SSL settings	Management method
Default Web Site	Anonymous	Required	IIS management console
API1	Anonymous authentication Windows authentication	SSL required Requires 128-bit encryption
aspnet_client	Anonymous authentication	SSL required Requires 128-bit encryption	IIS management console
Autodiscover	Anonymous authentication Basic authentication Windows authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
ecp	Anonymous authentication Basic authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
EWS	Anonymous authentication Windows authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
MAPI	Windows authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
Microsoft-Server-ActiveSync	Basic authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
OAB	Windows authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
owa	Basic authentication	SSL required Requires 128-bit encryption	EAC or Exchange Management Shell
PowerShell	By default, all authentication methods are disabled.	Not required	EAC or Exchange Management Shell
Rpc	Basic authentication Windows authentication	Not required	EAC or Exchange Management Shell

 

[quake]

Обнаружил что один из серверов 2016 не проходит проверку командлетом
[PS] C:\Windows\system32>[B]Test-OutlookConnectivity -RunFromServerId mail2 -ProbeIdentity OutlookMapiHttpSelfTestProbe
ПРЕДУПРЕЖДЕНИЕ: Сведения о результате сбойной проверки:
Error: Error 0x5 (Отказано в доступе) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall
EEInfo: ComputerName:
EEInfo: ProcessID: 23716
EEInfo: Generation Time: 21.06.2020 13:31:49
EEInfo: Generating component: 2
EEInfo: Status: 0x00000005
EEInfo: Detection location: 1710
EEInfo: Flags: 0
EEInfo: NumberOfParameters: 1
EEInfo: prm[0]: Long: 0 (0x00000000)

 

[Surf_rider]

Обнаружил что один из серверов 2016 не проходит проверку командлетом
[PS] C:\Windows\system32>Test-OutlookConnectivity -RunFromServerId mail2 -ProbeIdentity OutlookMapiHttpSelfTestProbe
ПРЕДУПРЕЖДЕНИЕ: Сведения о результате сбойной проверки:
Error: Error 0x5 (Отказано в доступе) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall
EEInfo: ComputerName:
EEInfo: ProcessID: 23716
EEInfo: Generation Time: 21.06.2020 13:31:49
EEInfo: Generating component: 2
EEInfo: Status: 0x00000005
EEInfo: Detection location: 1710
EEInfo: Flags: 0
EEInfo: NumberOfParameters: 1
EEInfo: prm[0]: Long: 0 (0x00000000)

Попробуйте утилиту проверки подключения https://testconnectivity.microsoft.com/
Что она выдаст ? Результат сюда..

 

[quake]

в тесте все зеленое кроме вот этого

Выполняется проверка конечной точки адресной книги MAPI на сервере Exchange.Конечная точка адресной книги успешно проверена.
Этапы проверки
Выполняется попытка проверки связи с конечной точкой Адресная книга MAPI с удостоверением: 74c7ca46-d7b1-4598-86f5-9df8e10ba6de@reverend.ru:6004.Проверка связи с конечной точкой успешно выполнена.
Подробнее
Выполняется проверка операции "Проверить имя" адресной книги для пользователя username@reverend.ru на сервере 74c7ca46-d7b1-4598-86f5-9df8e10ba6de@reverend.ru.Тест пройден с несколькими предупреждениями. Укажите дополнительные сведения.
Подробные сведения об этой проблеме и способах ее устранения
Подробнее
Операция привязки адресной книги завершилась ошибкой ecNotSupported. Обычно это указывает на то, что ваш сервер требует шифрования. Анализатор Microsoft Connectivity Analyzer попытается снова проверить адресную книгу, используя шифрование. Состояние NSPI: -2147221246 2147746050

 

[NanoSuit]

Попробуйте настроить kerberos alternate service account

Configure Kerberos authentication for load-balanced Client Access services

Summary: How to use Kerberos authentication with load-balanced Exchange servers running Client Access services.

docs.microsoft.com

 

[NanoSuit]

Всем привет и это снова я со своими exchange 2016! В общем дождался я наконец то выходных что бы помучить настройки своего exchange 2016. Долго и муторно проверял все ссылки, автодискаверы и записи в CNAME .И пришел к выводу что настроено то у меня верно все. На самом деле то проблема в другом - перестала работать аутентификация в exchange 2016. Я заметил что как только я пытаюсь открыть чей то Outlook - он начинает просить пароль а в это время на exchange 2016 в журнале Безопасность бахчисарайским фонтаном сыпятся ошибки с event id 4625 Microsoft Windows Security Auditing. Причем по всем пользователям вне зависимости от версии Outlook.
Вот так это выглядит
Посмотреть вложение 10706

Верные пароли естественно не работают, NTLM в exchange перестал работать наглухо. Ряд советчиков в этих наших интернетах пишут что можно подправить локальную политику безопасности сервера, вот в этих местах:
Посмотреть вложение 10707

Мне вобщем это не помогло. Абсолютно ничего не изменилось. Так что мои мудовые рыдания продолжаются - чем закончится хз. Напишу позднее, пока понять почему не работает авторизация не удалось.. И да если включить старый exchange то начинает все работать.. я хз почему..

Тип входа = 3 а это сетевой вход в в систему, я бы начал с проверки IIS
ТИПЫ LOGON

• 2: Interactive logon—This is used for a logon at the console of a computer. A type 2 logon is logged when you attempt to log on at a Windows computer’s local keyboard and screen.
• 3: Network logon—This logon occurs when you access remote file shares or printers. Also, most logons to Internet Information Services (IIS) are classified as network logons, other than IIS logons that use the basic authentication protocol (those are logged as logon type 8).
• 4: Batch logon—This is used for scheduled tasks. When the Windows Scheduler service starts a scheduled task, it first creates a new logon session for the task, so that it can run in the security context of the account that was specified when the task was created.
• 5: Service logon—This is used for services and service accounts that log on to start a service. When a service starts, Windows first creates a logon session for the user account that is specified in the service configuration.
• 7: Unlock—This is used whenever you unlock your Windows machine.
• 8: Network clear text logon—This is used when you log on over a network and the password is sent in clear text. This happens, for example, when you use basic authentication to authenticate to an IIS server.
• 9: New credentials-based logon—This is used when you run an application using the RunAs command and specify the /netonly switch. When you start a program with RunAs using /netonly, the program starts in a new logon session that has the same local identity (this is the identity of the user you are currently logged on with), but uses different credentials (the ones specified in the runas command) for other network connections. Without /netonly, Windows runs the program on the local computer and on the network as the user specified in the runas command, and logs the logon event with type 2.
• 10: Remote Interactive logon—This is used for RDP-based applications like Terminal Services, Remote Desktop or Remote Assistance.
• 11: Cached Interactive logon—This is logged when users log on using cached credentials, which basically means that in the absence of a domain controller, you can still log on to your local machine using your domain credentials. Windows supports logon using cached credentials to ease the life of mobile users and users who are often disconnected

 

[quake]

Кароч.. я крут! Я все починил
Все мои проблемы были из-за вот этой строчки.. Старый exchange 2010 указывал на другое имя, и хранил данные о SCP в active directory

[PS] C:\Windows\system32>Get-ClientAccessService | fl Name, AutoDiscoverServiceInternalUri
Name : MAIL
AutoDiscoverServiceInternalUri : https://mail.rew.local/Autodiscover/Autodiscover.xml
Name : MAIL1
AutoDiscoverServiceInternalUri : https://mail.reverend.ru/Autodiscover/Autodiscover.xml
Name : MAIL2
AutoDiscoverServiceInternalUri : https://mail.reverend.ru/Autodiscover/Autodiscover.xml

Включил старый сервер, вбил туда это
Set-ClientAccessServer -Identity MAIL -AutoDiscoverServiceInternalUri https://mail.reverend.ru/Autodiscover/Autodiscover.xml

Позже напишу как я выводил старый Exchange из строя...

 

[Surf_rider]

Алгоритм поиска сервиса Autodiscover клиентом Outlook

Начнем с того, что с Autdiscover`ом могут работать клиенты начиная с Outlook 2007 и более новые. Логика поиска службы следующая:
1. Service Connection Point (SCP) lookup - Outlook пытается найти точку подключения к Autodiscover в Active Directory (для своего АД сайта). Если данная попытка не удачна, то он переходит к "не доменной" логике:
2. HTTPS запрос к SMTP домену - Outlook формирует адрес для подключения из доменной части SMTP адреса пользователя, например https://contoso.com/autodiscover/autodiscover.xml
3. HTTPS запрос к домену Autodiscover - Outlook формирует URL добавляя имя autodiscover к SMTP домену, например:
https://autodiscover.contoso.com/autodiscover/autodiscover.xml
4. Выполняется поиск локального XML файла с конфигурацией
5. Используется метод HTTP redirect
6. Выполняется поиск по SRV записи
7. Outlook 2013 может использовать закэшированный ранее в профиле URL

 

[quake]

В общем завтра будет апдейт по теме. Попробую завтра удалить Exchange 2010

 

[quake]

Все удалилось штатно, наконец то эта эпопея закончилась. Порядок удаления exchange у меня был таким.
0. Удалить public folder - у меня их нет потому на этот шаг я забиваю.
1. Удалил все запросы на перемещение в базах 2010 сервера.
Get-MoveRequest | RemoveMoveRequest

Если эта команда не работает - попробуйте зайти в 2016 exchange на закладку Миграция и удалить запросы оттуда. Команда выше у меня не завелась и я удалил через пакеты миграции.
2. Потом если когда то экспортировали почту в pst - тоже надо все удалить. Вот такой командлет вам в помощь - чпуньк! и готово
Get-MailboxExportRequest -Status Completed | Remove-MailboxExportRequest

3. Далее удаляем Базы данных, предварительно отключив цикличное ведение логов. Если у вас DAG, то сначала нужно расшатать dag. У меня DAG не было поэтому мне проще.
4. Удаляем OAB которая живет в старом сервере. С 2010 не заработало, грохнул через оснастку 2016 сервера а так была ошибка

Не удается удалить объект \NON_IPM_SUBTREE\OFFLINE ADDRESS BOOK\EX:
Убедитесь в том, что указано правильное удостоверение и имеются необходимые разрешения на его удаление.

5. Удаляем коннекторы приема на сервере Exchange 2010
6. Деинсталл Exchange через - Установка и удаление программ, снимаем все галки и ждем.
Кстати на последнем шаге произошел нежданчик - Exchange отказался удаляться сославшись на то что его держит процесс beremote.exe.

Программе установки не удается продолжить процесс удаления, так как у процесса beremote имеются открытые файлы.

Порывшись понял что это агент symantec backup exec который мы уже сто лет не используем так как плотно подсели на veeam. Пришлось сначала выкорчевать symantec потом exchange. Такие дела.