dolezel.net

Co není v hlavě, je v blogu...

Novoroční pozdrav správcům Exchange

Microsoft nám všem, kteří se staráme o nějaký Exchange server, poslal novoroční pozdrav v podobě přetečení hodnoty 32-bit integer. Postižení jsou všichni, kdo na Exchange serverech nevypnuli AntimalwareScanning. Teď si toto skenování musí vypnout všichni, minimálně do doby, než Microsoft vydá opravu.

To, že je váš Exchange postižen, poznáte jednoduše - poslední maily dovnitř i ven přišly na Silvestra... V Exchange Toolboxu pod Queue Viewer uvidíte v Submission frontě velké množství nedoručených zpráv. V eventlogu se pak objevují takovéto hlášky:

Log Name:      Application
Source:        Microsoft-Filtering-FIPFS
Event ID:      1127
Level:         Error
Description: The FIP-FS Filtering Management Service was unable to acquire a scanner within the specified timeout. The process will be terminated.

a

Log Name:      Application
Source:        Microsoft-Filtering-FIPFS
Event ID:      5300
Level:         Error
Description: The FIP-FS "Microsoft" Scan Engine failed to load. PID: 20764, Error Code: 0x80004005. Error Description: Can't convert "2201010009" to long.

Problémem je hodnota 2201010009. Oprava je naštěstí jednoduchá. Spusťte Exchange Management Shell jako admin a v něm:

& $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1
Restart-Service MSExchangeTransport

Vypínání skenování trvalo na všech serverech zatraceně dlouho, ale nakonec se povedlo.

Velké díky https://www.itwriting.com/blog/11910-exchange-emails-stuck-in-queue-because-message-deferred-by-categorizer-agent-happy-new-year-admins.html, myslím, že ušetřil spoustě administrátorů hodně času.

Doplnění 17:34:

https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447

https://betanews.com/2022/01/02/microsoft-releases-fix-for-email-breaking-y2k22-bug-in-exchange-fip-fs/

https://aka.ms/ResetScanEngineVersion - automatizovaná oprava od Microsoftu

Microsoft vydal výše zmíněný skript ResetScanEngineVersion, protože zjistil, že zcela automatizované řešení, které by nevyžadoval zásah Exchange administrátora, by jim zabralo několik dní.

Kvalifikovaný vs. zaručený elektronický podpis

Tohle si musím napsat.

Zaručený elektronický podpis je založený na kvalifikovaném certifikátu pro elektronické podpisy, pro který původní zákon o elektronickém podpisu (zákon č. 227/2000 Sb.) používal pojem „uznávaný elektronický podpis“. Certifikát může být uložen přímo v OS.

Kvalifikovaný elektronický podpis - QES (qualified electronic signature) je zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy vydaným kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Takže mými slovy - kvalifikovaný certifikát uložený v počítači na kvalifikovaný elektronický podpis již nestačí, soukromý klíč certifikátu musí být uložen na "kvalifikované" klíčence/kartě, kterou vydává/poskytuje certifikační autorita.

Veřejná správa musí používat kvalifikovaný elektronický podpis od 20.9.2018.

"Dle nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES  je nejvyšší formou elektronického podpisu (co do své důvěryhodnosti) tzv. kvalifikovaný elektronický podpis."

https://www.czechpoint.cz/public/kvalifikovane-elektronicke-podpisy-dle-narizeni-eidas-novy-pozadavek-na-obsluhu-czech-pointu/

Testovací odeslání e-mailu pomocí Powershellu

Nechce se mi to vymýšlet vždy znovu a znovu, tak šup sem s tím.

$creds = get-credential
$sender = "user@domain.tld"
$recipient = "recipient@domain.tld"
$server = "server.domain.tld"
Send-MailMessage -From $sender -To $recipient -Subject "Test Email" -Body "Test SMTP Service from Powershell on Port 587" -SmtpServer $server -Credential $creds -UseSsl -Port 587

Typy pólů zálohovacích baterií

Začala mi doma pípat zabezpečovačka. Rychle manuál - závada - nízké napětí baterie. No jo, v systému jsou dvě - v ústředně je 7,2Ah, venku v siréně 4,5Ah. Hmm, podle dokladů jsem do ústředny minule kupoval něco s názvem F1. Ale teď na mém oblíbeném e-shopu s výdejnou v mém okrese (je přeci březen 2021 a covidový lockdown) mají jen něco s F2. Co to je? V tomhle se nevyznám nebo jsem to za ty roky úspěšně zapomněl. Více...

MS Teams a vícero firem

V pracovním týmu používáme řadu let Slack. V souvislosti s covidem však vzrostla potřeba komunikovat v rámci celé firmy a v takovém případě jsou licenční náklady pro několik set licencí nezanedbatelné, obzvláště pokud již používáme Office 365 a tudíž máme Teams licenčně pokryté. Takže jsme nahodili i Teams a pro komunikaci mezi týmy jedeme přes Teams. Nyní nastala situace, kdy jsem potřeboval rozjet Teams pro další firmu - a v tu chvíli jsem narazil. Zatímco Slack umí bez problémů přepínat mezi tzv. Workspaces na všech platformách, tak Teams to zvládá pouze na mobilu (testováno na iOS). Na desktopu nebo webu to Teams neumí. Více...

Powershell 7 instalace a upgrade

Nejdříve stručná rekapltulace. Powershell od nejnižších verzí až po verzi 5.1 by se nyní měl správně nazývat Windows Powershell, jeho posledním zástupcem je právě verze 5.1 a nová už nebude. Vše založené na .NET Framework, který se sám již zapouzdřil v poslední verzi 4.8 a novější už nebude. Všechny verze Powershellu nahrazovaly tu předchozí. Zjistit se dá pomocí příkazu
$PSVersionTable.PSVersion

Powershell od verze 6 je však již jiný. Instaluje se v režimu side-by-side, instaluje se do jiného adresáře, je založen na .NET Core a je dostupný pro řadu platforem, pro které je dostupný i .NET Core - vyjma Windows jde o OS X a různé Linuxy. V následujícím mi půjde primárně o Windows. Více...


W2012 s Ex2016 - nový domain admin se nemůže přihlásit

To už je podruhé, kdy se s tímto problémem potkávám. Samozřejmě jsem si jej poprvé nepoznamenal (jako tunu dalších věcí, které člověk vyřeší a naivně si myslí, že to bylo naposledy v životě). Tak omyl. Je to tu zase. Existující domain admini nebo lokální administrátoři se přihlásí. Ale nově vytvořený domain admin nikoliv. Kde je zakopaný pes? Kruci, slovo PES není v této době úplně nejvhodnější. Více...

USB chaos

Tohle je tak strašný chaos, že si to sem musím napsat, abych to vždy rychle našel a oživil si to.

USB_3.2

Zdroj: https://www.cnet.com/how-to/usb-3-2-explained-making-sense-of-current-and-confusing-usb-standard/

V článku je ještě pár důležitých premis:

  1. Všechny USB 3.2 Gen 2x2 produkty používají konektor typu USB-C.
  2. Ale ne všechny USB-C porty jsou USB 3.2 Gen 2x2. Mohou to totiž být také produkty s poloviční rychlostí 10Gbps označené jako USB 3.2 Gen 2.
  3. USB konektor typu A může být buď 10Gbps USB 3.2 Gen 2 nebo s poloviční 5Gbps rychlostí USB 3.2 Gen 1 - pokud se jedná o konektor nejčastěji s modrým vnitřkem.
  4. USB konektor typu A s černým vnitřkem je nejčastěji USB 2.0.

Uznávám, že v tomto se normální smrtelník nemůže vůbec vyznat, přitom se jedná o naprosto spotřební zboží. Nechápu, komu to stojí za to v tom dělat takový chaos. Pro mne by bylo nejlogičtější dělení na USB 3.0, 3.1, 3.2 a basta.

Pro úplnost je ještě nutno podotknout, že některé USB-C konektory mohou být použity pro Intel Thunderbolt 3 technologii s teoretickou kapacitou 40Gbps.

Odstranění Exchange Serveru 2013

Dnes jsem potřeboval rychle odstranit Exchange Server 2013  z domény bez náhrady. Tj. žádný upgrade, žádné stěhování mailboxů na nový server atd. Jak na to?

Get-Mailbox | Disable-Mailbox -Confirm:$false
Get-OfflineAddressBook | Remove-OfflineAddressBook -Confirm:$false -Force
Get-Mailbox -Arbitration | Disable-Mailbox -Arbitration -DisableLastArbitrationMailboxAllowed -Confirm:$false

Byl to jeden server, žádné veřejné složky, žádný archív, žádný audit. Po provedení předchozích příkazů a zavření okna EMS jsem byl schopen spustit odinstalační program.

Doplnění 9. 2. 2020:

Dnes jsem potřeboval odstranit letitý server Exchange 2013 z rozsáhlejší Exchange organizace. Nezabraly výše uvedené příkazy, pořád uninstall řval, že na serveru něco je.

Nejdříve jsem přišel na toto:

(Get-MailboxExportRequest | ?{ $_.RequestQueue -eq "USAEX01 Mailbox" })|%{Remove-MailboxExportRequest -identity $_.identity }

Nepomohlo. Pak jsem našel toto:

Get-Mailbox -Database "USAEX01 Mailbox" -Monitoring | Disable-Mailbox -Confirm:$false

Opět nepomohlo. Až nakonec jsem si uvědomil, že se jedná o rozlehlou doménovou strukturu, tak jsem zkusil toto:

Set-AdServerSettings -ViewEntireForest $True
Get-Mailbox -Server USAEX01 | Disable-Mailbox -Confirm:$false

A to konečně pomohlo a poté jsem mohl spustit:

Get-MailboxDatabase "USAEX01 Mailbox" | Remove-MailboxDatabase