Microsoft Exchange
Bezpieczeństwo IT - metody ochrony,Główna,Nowe technologie

Case study: Jak naprawiliśmy Microsoft Exchange

Opublikowano
Czas czytania: 3 min

Przegląd problemów

Jakiś czas temu zgłosił się do nas klient – dosyć duża instytucja. Lista problemów dotyczących funkcjonowania środowiska Microsoft Exchange 2016 była długa:

  • Przestarzała wersja Microsoft Exchange na serwerach przy braku możliwości zainstalowania najnowszej wersji, gdzie wszelkie próby kończyły się błędami. Ponadto serwery nie widziały aktualizacji od momentu wdrożenia usługi w organizacji przez firmę zewnętrzną.
  • Nie działa DAG – po wyłączeniu jednego z węzłów nie działa usługa poczty, natomiast w przypadku wyłączenia drugiego poczta działała.
  • Przepełnione logi IIS, które były czyszczone tylko wtedy, gdy brakowało już miejsca na dysku C. Dodatkowo, wiadomości z zewnątrz nie opuszczały kolejki i nie trafiały do skrzynek pocztowych. Z kolei nieczyszczące się logi transakcyjne przy bazach danych skrzynek pocztowych prowadziły do zapełnienia partycji. Co gorsza, czyszczono je ręcznie!
  • Zgłoszono niespójność baz w DAG.
  • W momencie wykonywania kopii zapasowej serwer zamierał. Korzystanie z poczty było niemożliwe.
  • Brak dostępu do poczty z zewnątrz z poziomu OWA podyktowany był względami bezpieczeństwa. Dział bezpieczeństwa w organizacji stwierdził słusznie, że eksponowane na świat uwierzytelnianie jednoskładnikowe stanowiące ryzyko kompromitacji hasła. Brak dostępu do poczty z poziomu przeglądarki stanowił znaczną niedogodność. Ponadto nieaktualizowany od lat system mocno dawał o sobie znać w znanym systemie zarządzania podatnościami.

Opis problemów związanych z wydajnością wydawał się być bardzo skomplikowany. Od bardzo powolnie funkcjonującego wyszukiwania wiadomości starszych niż rok po problemy z długotrwałym czasem oczekiwania na synchronizowanie zmian takich jak np. zmiana nazwiska. Ponadto dochodziły kwestie zgłaszanych incydentów związanych ze znikaniem wiadomości ze skrzynek pocztowych. Problemem był też  wiadomości niezapisujące się w folderze „Wysłane”, co dotyczyło skrzynek delegowanych.

Ocena stanu środowiska Exchange i korekta Active Directory

Gdy uruchomiliśmy skrypt HealthChecker lista pozycji świecąca się na czerwono była porażająca tak samo jak ilość błędów w logach systemowych.

Zaczęliśmy od sformułowania wstępnej diagnozy, określenia planu działania z możliwością powrotu do wcześniejszego stanu na wypadek, gdyby coś poszło nie tak oraz wyznaczenia z klientem okien serwisowych, bowiem prowadzone prace wymagały znacznej ingerencji, a co za tym idzie nieuniknione były przerwy w dostępie do usługi.

Korekta ustawień zaczęła się nie od samego Microsoft Exchange a środowiska Active Directory, gdzie odnotowaliśmy problem z ustawieniami synchronizacji czasu, czego pochodną były problem z replikacją zmian między kontrolerami.

Optymalizacja przestrzeni dyskowej i poprawna konfiguracja sieci

Następnie przyszła pora na zrobienie porządków na dyskach. Wdrożyliśmy skrypt, który utrzymywał retencję logu jedynie przez 6 miesięcy (pozostałe na potrzeby ewentualnej analizy zostały automatycznie odkładane na boku), natomiast oprogramowanie do backupu zostało przestawione na tryb świadomy usługi. Po każdym backupie logi transakcyjne były czyszczone, co rozwiązało problem z przepełnieniem partycji bazodanowych. Zoptymalizowano również harmonogram backupu. Dodatkowo konfiguracja sprzętowa pozostawiała wiele do życzenia, a jak wiadomo Microsoft Exchange ma na tym polu spore wymagania.

Skorygowaliśmy DNS, tak aby wskazywał na świadka DAG. Przeprowadziliśmy odpowiednie testy wysokiej dostępności usługi, symulując kolejno awarię jednego i drugiego węzła. Bazy mailboxowe skorygowano.

Planowanie instalacji CU i aktualizacja bezpieczeństwa

CU instalowaliśmy po kolei (nie od razu najwyższy) spełniając przy okazji wszystkie zależności względem wersji zainstalowanego oprogramowania i rozwiązując zgłaszane przy instalacji błędy.

Wdrożyliśmy dwuskładnikowe uwierzytelnianie do OWA za pomocą skonfigurowanej roli Active Directory Federation Services, co uczyniło dostęp do poczty w wypadkach nagłych wygodnym i bezpiecznym.

Zrobiliśmy też porządki w dziedzinie starych wygasłych certyfikatów. Jak powszechnie wiadomo wśród administratorów tego systemu w przypadku jego aktualizacji system lubi sobie podbindować wygasły certyfikat.

Na koniec uruchomiony ponownie skrypt HealthChecker wykazał znaczącą poprawę w stanie konfiguracji środowiska. Instalację kolejnego Cumulatie Update klient był w stanie wykonać samodzielnie. System nie zgłaszał błędów. Na sam koniec klient stwierdził, że administrowanie usługą poczty przestało być udręką i źródłem wielu sytuacji stresowych.

 

Potrzebujesz zaktualizować swoje środowisko Microsoft Exchange? Zapraszamy do zapoznania się z ofertą naszego wsparcia, klikając w baner poniżej.

Microsoft Exchange

Poprzedni artykuł
Następny artykuł

Podobne posty

Dodaj komentarz