Coexistencia

Exchange 2010 para 2013 – Parte 9

Introdução

Na parte 8 dessa série mostramos como configurar o Outlook Anywhere para a coexistência do Exchange 2010 com o 2013. Nessa parte vamos mostrar como alterar os registros DNS que respondem atualmente no 2010 para responderem para o Exchange 2013.

Alteração do DNS

Agora que nosso Exchange 2013 está configurado em coexistência é hora de apontar os registros de DNS para ele. Você terá que mover o hostname, por exemplo: webmail.msitpro.com.br, autodiscover.msitpro.com.br, do Exchange 2010 para o 2013.

Obs: Antes disso, verifique se você está utilizando o mesmo nome para outros serviços que consultam o Exchange, como por exemplo servidores que fazem uso do Exchange para envio de e-mails (RELAY). Se você estiver utilizando o mesmo nome para relay, certifique-se de realizar as configurações de conectores de relay no Exchange 2013 antes da mudança. Caso você utilize outro endereço como, relay.msitpro.com.br, você poderá alterá-lo posteriormente, ou já realizar a configuração dos conectores, fica ao seu critério.

Para entender melhor como o seu cliente irá se comportar nas diversas formas de conexão (OWA, ActiveSync, OA etc.), sugiro a leitura do seguinte artigo do Exchange Blog Team:

http://blogs.technet.com/b/exchange/archive/2014/03/12/client-connectivity-in-an-exchange-2013-coexistence-environment.aspx

O artigo acima é muito completo e bem explicativo, porém está em inglês. Mas vale a pena a leitura!

Ao mudar os apontamentos de DNS para o Exchange 2013, o seu cliente irá ser redirecionado para o Exchange 2010, caso sua caixa ainda não tenha sido migrada. Para os clientes que ainda estão no Exchange 2010 se conectando via CAS Array a conexão permanece. Outras conexões serão repassadas via proxy request do Exchange 2013 para o 2010.

Vamos mostrar na prática. No meu laboratório estou usando um único nome: autodiscover.msitpro.com.br. Esse responde por TUDO em meu lab.

Ao pingar ele hoje, ele me retornar o endereço do Exchange 2010:

image

Se eu abrir o OWA hoje ele me retorna o seguinte:

image

Ao logar com o usuário do Exchange 2010 ele me entrega a página do OWA v2010:

image

image

Agora vamos alterar os registros DNS para apontar para o servidor Exch2013.

image

Nosso IP é o 172.16.0.3, vamos inserir esse IP no registro “autodiscover”.

Onde hoje está como:

image

Vamos alterar para 172.16.0.3.

image

image

Faça isso para os demais registros, no meu caso eu só tenho o autodiscover, você deve fazer no webmail e qual mais tiver apontando para o VIP do NLB ou Exchange 2010, e deverá trocá-lo para o Exchange 2013.

Após isso, limpe o cache do DNS e acesse o endereço novamente.

Agora ao se conectar no OWA acessando pelo mesmo endereço https://autodiscover.msitpro.com.br/owa, ele irá se conectar no Exchange 2013.

image

Meus usuários ainda não foram migrados, veja que o CAS 2013 irá autenticar o usuário, fará um service discovery e irá concluir que a sua caixa está em um servidor versão 2010 localizado no mesmo site. Nesse momento então o CAS 2013 fará o proxy da requisição para um CAS 2010 que irá se comunicar com o servidor Mailbox Server 2010, concedendo o acesso:

image

Veja que ele continua usando o CAS Array para a conexão com o Outlook internamente.

image

Lembre-se que você terá que alterar seu DNS público também, e o funcionamento se dará da mesma forma externamente. O Exchange 2010 não precisará mais estar publicado após isso, somente o Exchange CAS 2013.

No caso do meu lab, configurei as URLs internas e externas para serem as mesmas, pois estou usando split-dns.

Se tratando de Exchange 2010 para 2013, não é mais necessário usar o nome Legacy como fazíamos para migrar do 2003 para o 2010. Entretanto, de 2007 para 2010/2013, ainda é necessário o nome legacy configurado e também incluso no certificado digital.

Com relação ao registro MX, se hoje você o aponta por exemplo para o seu firewall de borda e o firewall encaminha (NAT) para o Exchange 2010, você trocar essa regra para apontar para o Exchange 2013.

Caso você possua o Microsoft EOP, verifique como está o apontamento dele. Se ele apontar para o seu firewall de borda você deve apenas realizar a troca da regra como citado acima.

Caso você utilize o EOP é recomendado que você utilize o mesmo IP público que aponta para o seu firewall. Se você criar uma nova regra para o CAS 2013 utilizando um novo IP público, você terá problemas com o antispam usado no EOP. Nesse caso, se você por alguma razão tiver que criar um novo apontamento para um novo IP, deverá abrir uma requisição para a Microsoft incluir esse novo IP nas configurações de antispam do EOP. Passei por isso em um cliente que decidiu utilizar um novo endereço IP e ele caiu em blacklist e teve que solicitar a liberação desse novo IP no EOP.

Referência:

Configure DNS records for Exchange 2010 multiple-server install
https://technet.microsoft.com/en-us/library/dn307232(v=exchg.150).aspx

Conclusão

Nesse artigo mostramos como alterar os registros DNS que apontavam do Exchange 2010 para o Exchange 2013, e como alguns serviços cliente se comportam nesse caso.

Share

Post to Twitter

Exchange 2010 para 2013 – Parte 8

Introdução

Na parte 7 da série de atualização para o Exchange 2013, explicamos como mover a conta Arbitration do Exchange 2010 para o 2013. Na parte 8 vamos mostrar como configurar o Outlook Anywhere para possibilitar a coexistência entre as versões.

Outlook Anywhere

Atualizado 31/01/15

Com relação ao Outlook Anywhere, se você o usa hoje no Exchange 2010 e deseja configurar o proxy do Exchange 2013 para o seu antigo servidor, você precisará realizar a configuração indicada abaixo.

Caso você não use o OA hoje no Exchange 2010, ou tem alguma restrição de segurança do uso do OA, você não precisará configurar essa etapa pois não irá realizar o proxy.

Meu colega PFE Deivid Foggi explica em um artigo essa configuração, pois é comum pensar que somos obrigados a habilitar o Anywhere no Exchange 2010 mesmo quando não o estamos usando hoje.

http://blogs.technet.com/b/deividfoggi/archive/2015/01/30/the-misconception-about-outlook-anywhere-in-2010-gt-2013-migrations.aspx

Uma outra fonte de informações muito importante que gosto de citar é o artigo do Exchange Blog Team a respeito da conectividade dos clientes em uma migração para o Exchange 2013, segue abaixo.

http://blogs.technet.com/b/exchange/archive/2014/03/12/client-connectivity-in-an-exchange-2013-coexistence-environment.aspx

Temos duas opções possíveis para configurar o Outlook Anywhere.

  1. Eu não possuo Outlook Anywhere habilitado no Exchange 2010 e pretendo habilitá-lo agora.
  2. Já possuo Outlook Anywhere habilitado. Nesse caso temos que configurá-lo para a coexistência.

Abaixo mostro como habilitar e configurar o Outlook Anywhere para proxy e coexistência.

No Exchange 2010 temos que garantir as seguintes configurações:

-> Configurar a external URL para o Exchange 2013 (mail)
-> Client authentication – configurar para Basic
-> IIS authentication – configurar para NTLM e Basic

Como configurar:

  1. Vamos gravar o nome externo do Exchange 2013 CAS em uma variável
    $Exchange2013HostName = "autodiscover.msitpro.com.br"
  2. No meu lab ainda não configurei o Outlook Anywhere, mas na maioria dos deployments você já deve encontrar o OA habilitado. Em todo caso para Habilitar e Configurar de uma só vez execute:

    Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Where {$_.OutlookAnywhereEnabled -Eq $False} | Enable-OutlookAnywhere -ClientAuthenticationMethod Basic -SSLOffloading $False -ExternalHostName $Exchange2013HostName -IISAuthenticationMethods NTLM, Basic

    image

  3. Para quem já está com o OA habilitado, executar:

    Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Where {$_.OutlookAnywhereEnabled -Eq $True} | ForEach {Set-OutlookAnywhere "$_\RPC (Default Web Site)" -ClientAuthenticationMethod Basic -SSLOffloading $False -ExternalHostName $Exchange2013HostName -IISAuthenticationMethods NTLM, Basic}

  4. Para verificar a configuração execute:

    Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-OutlookAnywhere | Format-Table Server, ClientAuthenticationMethod, IISAuthenticationMethods, SSLOffloading, ExternalHostname –Auto

    image

Conclusão

Nesse artigo mostramos como configurar o Outlook Anywhere para proxy e coexistência entre o Exchange 2010 e 2013.

Share

Post to Twitter

Exchange 2010 para 2013 – Parte 7

Introdução

Na parte 6 vimos como configurar o certificado digital no Exchange 2013. Usamos o mesmo nome e certificado no Exchange 2010 e importamos no Exchange 2013. Nesse artigo, vamos ver como mover a conta de Arbitration.

Arbitration Mailbox

A Arbitration Mailbox é a caixa de sistema do Exchange 2010. Temos que mover essa caixa para o Exchange 2013 em um cenário de coexistência e transição, caso contrário poderemos ter os seguintes problemas:

-> Exchange 2013 tasks aren’t saved to the administrator audit log. When you run the Search-AdminAuditLog cmdlet or try to export the administrator audit log in the EAC, you’ll receive an error that says you can’t create an administrator audit log search because the system mailbox, SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}, is located on a server that isn’t running Exchange 2013. A Microsoft Exchange error with an Event ID of 5000 is also logged in the Windows Application log each time a command is run.

-> You can’t run eDiscovery searches using the EAC or the Shell in Exchange 2013. Mailbox searches can be created and queued, but they can’t be started. An error with an Event ID of 6 is logged in the MsExchange Management log, stating that the Start-MailboxSearch cmdlet failed. However, you can search mailboxes using the Shell and the Exchange Control Panel (ECP) in Exchange 2010.

ref: https://technet.microsoft.com/en-us/library/dn249849%28v=exchg.150%29.aspx

Movendo a Arbitration Mailbox

  1. Verifique se você tem permissão para mover essa conta
  2. Execute o comando
    Get-Mailbox -Arbitration -Identity “SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}” | New-MoveRequest -TargetDatabase <name of Exchange 2013 database>
  3. Verifique com o comanddo
    Get-Mailbox -Arbitration -Identity “SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}” | FL Database,ServerName,AdminDisplayVersion

image

Conclusão

Nesse artigo mostramos como mover a mailbox Arbitration do Exchange 2010 para o 2013. Isso é parte do processo de migração e coexistência entre o Exchange 2010 e o 2013.

Share

Post to Twitter

Exchange 2010 para 2013 – Parte 6

Na parte 5 dessa série mostramos como configurar os diretórios virtuais. Nesse artigo vamos mostrar a configuração do certificado digital no Exchange 2013.

Exportando o certificado no Exchange 2010

No nosso caso já temos o certificado digital público instalado no Exchange 2010, então vamos ter que exportá-lo nesse servidor para depois importá-lo no Exchange 2013 já que vamos reutilizá-lo.

Nesse momento, você pode também adquirir um novo ou renovar seu certificado existente. Abaixo mostro os passos para reutilizar o mesmo certificado. Para exportar, execute.

  1. Abra o MMC do Exchange
  2. Vá até Server Configuration e selecione o servidor e o certificado

    image

  3. Clique no painel direito em Export Certificate
    image
  4. Vamos escolher o local e a inserir a senha do certificado, em seguida clicar em export
    image
    image
  5. Vamos aguardar o processo, o resultado deve ser como a seguir. Em seguida clique em Finish.
    image
  6. Verifique o certificado exportado no caminho que você escolheu
    image

Esse mesmo processo acima pode ser feito via Shell.

Primeiro você deve saber qual o thumbprint do certificado que você quer exportar, para isso rode:

Get-ExchangeCertificate

image

Em seguida execute:

Export-ExchangeCertificate -Thumbprint xxxxxxxxxxxxxxxxxxxxxx -BinaryEncoded:$true -Path c:\temp\Exchange_Certificate.pfx -Password:(Get-Credential).password

Referência: https://technet.microsoft.com/en-us/library/dd351274%28v=exchg.141%29.aspx

Importanto o certificado no Exchange 2013

Agora que temos o certificado exportado, vamos importar no Exchange 2013.

  1. Abra o Exchange Admin Center, navegue até Servers
  2. Clique em Certificates
  3. Selecione o servidor Exchange 2013
     image
  4. Clique em “…” e em seguida Import Exchange Certificate
    image
  5. Insira o caminho de rede de onde exportou o certificado no Exchange 2010 e insira a senha, em seguida clique em Next
    image
  6. Selecione o servidor Exchange 2013 que deseja inserir esse certificado e clique em finish
    image 
  7. Em seguida temos que atribuir os serviços para este certificado, para isso clique em Edit
    image
  8. No meu caso, vou usar esse certificado público para SMTP e IIS e clicar em Save
    image 

Agora vamos reiniciar o IIS e rodar o comando Get-ExchangeCertificate para visualizar o certificado importado.

image

Para importar o certificado via Shell execute:

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\temp\Exchange_Certificate.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password

Referência: https://technet.microsoft.com/en-us/library/bb124424%28v=exchg.150%29.aspx

Ao abrir nosso browser podemos visualizar o certificado importado no Exchange 2013.

image

Podemos visualizar no Exchange 2013 o certificado com o status de válido.

image 

Podemos verificar os serviços que estão atribuídos à esse certificado no painel direito.

 image

Conclusão

Mostramos nesse artigo como reutilizar o seu certificado usado atualmente no seu ambiente Exchange 2010, como exportar e importar o mesmo certificado para usá-lo no Exchange 2013.

Share

Post to Twitter

Exchange 2010 para 2013 – Parte 5

Introdução

Na parte 4 mostramos a instalação do Exchange 2013. Nesse artigo vamos mostrar os próximos passos para a coexistência e atualização do ambiente.

Ambiente em coexistência

Após a instalação do Exchange 2013 no ambiente 2010, já estamos trabalhando em um cenário chamado de coexistência. Com a conta criada na parte 4 da série, podemos usar para administrar e alterar as opções desejadas no Exchange 2013.

Diferente do Exchange 2010, a administração do Exchange 2013 é feita através do browser, usando o Exchange Admin Center (EAC). Para gerenciar contas de usuários, inclusive do seu ambiente 2010, deve usar essa console.

Configurando os diretórios virtuais

O próximo passo agora é configurar os diretórios virtuais do IIS. Um ponto muito importante nesse tipo de transição, quando você parte da versão 2010 do Exchange, é que não precisa de um nome Legacy, como nas versões anteriores. Se você partir do Exchange 2007 ainda irá precisar, mas essa novidade partindo do 2010 torna muito mais simples a transição.

Muito importante checar esse artigo do Blog Technet, relacionado às URLs:

Ambiguous URLs and their effect on Exchange 2010 to Exchange 2013 Migrations

Nesse caso vamos utilizar as mesmas URLs que estão operando hoje no ambiente produtivo, pois vamos manter o nome e o mesmo certificado.

Vamos olhar hoje o ambiente do lab como está configurado no Exchange 2010, através do EAC do Exchange 2013.

image

Vamos verificar primeiro o diretório OWA. Veja que configurei o endereço https://autodiscover.msitpro.com.br/owa, este será nosso endereço de acesso ao OWA, que é também o nosso endereço de autodiscover. Usei esse nome para utilizar um certificado digital válido gratuito (https://www.startssl.com/) Winking smile

image

Agora vamos acessar o diretório virtual de um dos servidores Exchange 2013, conforme imagem abaixo.

image

Veja que o padrão da instalação é preencher a URL interna com o nome do servidor, e a URL externa vazia.

O que desejamos nessa fase é utilizar o mesmo valor para ambas as versões, pois iremos logo em seguida, alterar todo o fluxo de e-mails e de acesso das URLs para o Exchange 2013, que irá fazer o proxy da requisição para o Exchange 2010 caso a caixa do usuário ainda não tenha sido migrada. O Exchange determina qual versão de servidor está hospedada essa mailbox e faz o proxy.

Eu posso simplesmente copiar os valores atuais e colar para o novo servidor, conforme imagem abaixo:

image

E também posso configurar via linha de comando. Executando o comando abaixo, tenho como resultado os valores para URL do diretório OWA desse servidor.

Get-OWAVirtualDirectory -Identity "owa (Default Web Site)"  | fl name,*url*

image

Vamos agora rodar o comando para configurar esse diretório.

Set-OWAVirtualDirectory -Identity "owa (Default Web Site)" -InternalUrl "https://autodiscover.msitpro.com.br/owa" -ExternalUrl https://autodiscover.msitpro.com.br/owa

image

Veja que ele já te alerta, que se você alterar a URL do OWA, deverá alterar também o diretório ECP.

image

Vamos verificar novamente com o seguinte comando.

Get-OWAVirtualDirectory -Identity "owa (Default Web Site)"  | fl name,InternalURL,ExternalURL

image

Vamos verificar visualmente se essa alteração surtiu efeito.

image

Vamos ter que configurar os demais diretórios, para isso segue um artigo Technet de referência.

http://technet.microsoft.com/en-us/library/hh529912(v=exchg.150).aspx

OutlookAnywhere

Alguns passos adicionais de coexistência do Outlook Anywhere serão mostrados em um artigo posterior.

Veja que o Outlook Anywhere fica nas propriedades de servidor.

image

Vamos acessar as propriedades do servidor LAB2-MX20131.

image

Vamos agora rodar o comando para troca da URL.

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname "autodiscover.msitpro.com.br" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -ExternalHostname "autodiscover.msitpro.com.br" -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic

Verifique novamente via EAC.

image

ActiveSyncVirtualDirectory

Set-ActiveSyncVirtualDirectory –Identity “lab2-mx20131\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl https://autodiscover.msitpro.com.br/Microsoft-Server-ActiveSync -InternalUrl https://autodiscover.msitpro.com.br/Microsoft-Server-ActiveSync

WebServicesVirtualDirectory

Set-WebServicesVirtualDirectory –Identity “lab2-mx20131\EWS (Default Web Site)" -ExternalUrl https://autodiscover.msitpro.com.br/EWS/Exchange.asmx –InternalUrl https://autodiscover.msitpro.com.br/EWS/Exchange.asmx

OABVirtualDirectory

Set-OABVirtualDirectory –Identity “lab2-mx20131\OAB (Default Web Site)" -ExternalUrl https://autodiscover.msitpro.com.br/OAB –InternalUrl https://autodiscover.msitpro.com.br/OAB

ECPVirtualDirectory

Set-EcpVirtualDirectory "lab1-mx20131\ECP (Default Web Site)" -ExternalUrl https://autodiscover.msitpro.com.br/OAB -InternalURL https://autodiscover.msitpro.com.br/OAB

ClientAccessServer

Set-ClientAccessServer -Identity lab2-mx20131 -AutoDiscoverServiceInternalURI https://autodiscover.msitpro.com.br/AutoDiscover/AutoDiscover.xml

Essa última opção você não consegue visualizar nos diretórios virtuais, pois se trata da URL interna do serviço de desoberta automática para os clientes internos.

Por padrão os clientes internos buscam primeiro pelo registro SCP no Active Directory, então configuramos aqui o nome que responde por todos os nossos servidores CAS, ou Multi Role, ao invés de somente o nome do servidor. Caso você possua um HLB, deve colocar o nome que corresponde aos seus servidores Exchange 2013 balanceados.

Veja abaixo o processo de descoberta para os clientes Outlook internos.

http://technet.microsoft.com/pt-br/library/bb125157(v=exchg.150).aspx

Agora que você já conhece todo o processo de configuração dos diretórios virtuais, fica a dica de como automatizar todo o processo via Script. A referência é do blog do MVP Paul Cunningham.

http://exchangeserverpro.com/exchange-server-2010-2013-migration-configuring-client-access-servers/

Primeiro você deve liberar a execução de scripts powershell, depois importar o módulo do Exchange para o powershell. Já mostrei como faz isso nesse artigo.

image

Após salvar o conteúdo do script como: ConfigureURLs.ps1, vamos executar no powershell.

ConfigureURLs.ps1 -Server lab2-mx20132 -InternalURL autodiscover.msitpro.com.br -ExternalURL autodiscover.msitpro.com.br

image

Vamos verificar o resultado para o servidor 2.

image

Caso você utilize o POP e/ou IMAP, deve também configurar essas URLs. Para maiores informações sobre POP e IMAP, acesse: http://technet.microsoft.com/pt-br/library/jj657728(v=exchg.150).aspx

Referências:

http://technet.microsoft.com/pt-br/library/bb125157(v=exchg.150).aspx

http://technet.microsoft.com/pt-br/library/jj898583(v=exchg.150).aspx

http://technet.microsoft.com/en-us/library/hh529912(v=exchg.150).aspx

Conclusão

Nesse artigo você viu como configurar os diretórios virtuais no Exchange 2013. No próximo artigo vamos passar para a configuração de certificado digital.

Share

Post to Twitter