Arquivo da categoria: DirSync

DirSync: Prevenindo exclusões acidentais

 

 

Olá pessoal,

Em um cenário de desastre de Active Directory, onde ocorreu a perda de alguns usuários, o DirSync por padrão irá deletar estes mesmos usuários no Office 365, maximizando ainda mais os problemas existentes. Afim de previnir que estes problemas reflitam no Office 365, é possível configurar no DirSync para que ele previna a exclusão acidental de objetos. Esta função permite que você configure um limite de objetos que podem ser excluídos e caso este limite seja superado, um email é enviado notificando o administrador e não permitindo a exclusão dos objetos.

Para habilitar é muito simples:

 

1 – Abrir o PowerShell e importar o módulo do DirSync através do comando:

Import-Module DirSync

 

2 – Executar o comando:

Set-PreventAccidentalDeletes –Enabled –ObjectDeletionThreshold 30

No exemplo acima, o DirSync irá excluir no máximo 30 objetos por sincronização, caso existir mais objetos a serem excluídos o administrador será notificado.

 

3 – Pronto! Seu DirSync está configurado contra exclusões acidentais.

 

Até a próxima,

Diogo Heringer

Office 365: Office 365 Domain Manager

 

 

 

Olá pessoal,

Em um ambiente em que possui vários domínios no Office 365, o processo manual de inclusão destes domínios pode gerar uma grande demanda de trabalho para executar esta adição. Para isso podemos utilizar o PowerShell para adicionar estes domínios e agora também temos a opção de utilizar a ferramenta Office 365 Domain Manager onde iremos adicionar vários domínios através de uma console gráfica. Para isso basta executar os passos abaixo:

 

1 – Fazer o download do Office 365 Domain Manager

 

2 – Executar o MSI para instalação do programa

 

3 – Executar o programa instalado e fornecer as credenciais do tenant:

 

image

 

4 – Clicar no botão “+” e inserir os domínios desejados:

 

image

 

5 – Pronto! Com os domínios adicionados basta confirmar e iremos visualizar os respectivos registros TXT para verificação!

 

Até a próxima,

Diogo Heringer

clip_image001

DirSync: Como forçar a troca do UPN do usuário quando ele não é alterado pelo DirSync

 

 

 

Olá pessoal,

Uma atividade comum de administração de um ambiente de Office 365 com DirSync, é a alteração dos endereços UPNS.

A alteração deste valor deve ser replicada (bem como outros atributos) no intervalo de tempo estabelecido pelo arquivo de configuração do DirSync.

Algumas vezes podemos nos deparar com o problema em que o UPN sofre alterações e as mesmas não são replicadas para o Office 365. Neste caso, como solução de urgência, é recomendado que faça a alteração do UPN de forma manual através do PowerShell.

Para fazer esta alteração basta executar os passos abaixo:

 

1 – Conectar no Tenant do Office 365:

$livecred = Get-Credential

Connect-MsolService -Credential $livecred

$Session = New-PSSession -ConfigurationName Microsoft.Exchange –ConnectionUrihttps://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection

Import-PSSession $Session

 

2 – Executar o seguinte comando:

Set-MsolUserPrincipalName -UserPrincipalName <UPN Atual>  -NewUserPrincipalName <Novo UPN>

 

3 – Pronto! Agora basta conferir no portal do Office 365 e validar se o UPN está correto!

 

Créditos ao Flávio Filho que ajudou com esta solução!

 

Até a próxima,

Diogo Heringer

clip_image001

DirSync: IDFix Tool

 

 

 

 

Olá pessoal,

Frequentemente em implantações de DirSync encontramos alguns problemas com objetos na hora de executar a sincronização. Objetos que possuem caracter especial, espaço, objetos sem DisplayName são fatores decisivos para que o DirSync não faça a sincronização deste objetos.

Com o objetivo de facilitar a correção destes objetos e adequá-los ao padrão em que o DirSync utiliza para fazer a sincronização, a Microsoft lançou o IdFix DirSync Error Remediation Tool.

Feito o download vamos aprender a utilizar a ferramenta:

 

1 – Extrair os arquivos para o local desejado:

 

image

 

2 – Renomear o executável, retirando a parte “.rename” do arquivo:

image

 

3  – Na tela de confirmação do arquivo renomeado vamos clicar em “Yes

 

image

 

4 – Executar o IDFix.exe e clicar em “Ok” no alerta:

 

image

 

4 – Com a ferramenta aberta, vamos clicar em “Query” para visualizar todos os objetos com erros:

 

image

 

5 – Com os erros validados, na guia “Action” podemos executar algumas ações, como Edit, Remove e Complete.

 

Edit: Irá executar a alteração sugerida na guia “Update”. Caso queira alterar o valor da guia “Update” é possível também.

Remove: Altera o valor do atributo de forma que ele fique “em branco” (<Not Set>).

Complete: Considera que o valor existente é o valor correto e não faz nenhuma alteração.

 

image

 

6 – Pronto agora podemos resolver os problemas de sincronização com mais precisão!

 

É importante lembrar que o IDFix executa alterações no seu Active Directory, então devemos validar muito bem os valores antes de alteramos através da ferramenta.

 

Até a próxima,

Diogo Heringer

clip_image001

Exchange Online: Como ativar o DirSync sem o tempo de espera de 24 horas

 

 

 

Olá pessoal,

Uma das desvantagens ao utilizar o DirSync é o tempo de ativação, que é definido pela Microsoft por padrão como 24 horas. Muitas vezes precisamos do DirSync o mais rápido possível para executar um Lab por exemplo, ou até mesmo para não impactar em prazos de projetos de Exchange Online onde utilizamos o DirSync para integração do ambiente On-Premise <> Online. Quanto ativamos normalmente o DirSync pela console, recebemos o seguinte aviso:

 

image

 

Para atender estas necessidades existe uma maneira em que forçamos a ATIVAÇÃO do DirSync no Tenant. Lembrando que ATIVAÇÃO e SINCRONIZAÇÃO são dois processos diferentes do DirSync. Vamos lá:

1 – Conectar no Tenant do Office 365:

$livecred = Get-Credential

Connect-MsolService -Credential $livecred

$Session = New-PSSession -ConfigurationName Microsoft.Exchange –ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection

Import-PSSession $Session

 

2 – Habilitar o DirSync através do PowerShell utilizando o seguinte comando:

Set-MSOLDirSyncEnabled -Force –EnableDirSync $true

Em alguns minutos a ativação já estará feita.

3 – Verificar a ativação do DirSync através do comando:

Get-MsolCompanyInformation

 

4 – Pronto! Agora sabemos como forçar a ativação do DirSync.

 

Até a próxima,

Diogo Heringer

clip_image001

Hybrid Configuration: Prompt para credenciais repetidamente “Autodiscover-S.Outlook.com” na visualização de Free/Busy.

Olá pessoal,

Recentemente participando de um projeto de Hybrid Configuration me deparei com um problema que demorei bastante tempo para resolução do mesmo e também achei poucas informações relevantes na Internet a respeito.

O ambiente consistia no seguinte cenário:

  • 2 ADFS Proxy
  • 2 ADFS Server
  • 1 Exchange Server 2010 (Mailbox Server)
  • 1 Exchange Server 2010 (CAS/HUB)
  • 3 Servidores Exchange Server 2003 (BackEnd)
  • 1 Servidor Exchange Server 2003 (Front-End)

O problema basicamente era que o usuário ao tentar abrir o calendário do usuário que havia sido migrado para o Office 365 apresentava repetidamente a tela de Prompt abaixo:

 

image

 

Para o troubleshoot foi feito vários testes de visualização de Free/Busy em todos os sentidos (Nuvem > Local, Local > Nuvem). Abaixo os resultados que obtive nos testes de Free/Busy:

 

image

 

Vamos a resolução do problema:

O prompt de Autodiscover-S aparece repetidamente pois o usuário que está tentando “ABRIR”o calendário compartilhado não consegue se autenticar. Para que ele visualize o calendário corretamente, tanto o UPN do Usuário que foi migrado para a o Office 365, tanto o UPN do usuário do Exchange On-Premise devem estar configurados corretamente com UPNS válidos.

Com este conceito vamos a correção:

1 – No Active Directory Users and Computers efetuar a troca do UPN do usuário:

 

image

 

2 – Acessar o servidor de DirSync e no “DirSyncConfigShell.ps1” executar o seguinte comando:

Start-OnlineCoexistenceSync

 

Ok! Agora nosso usuário irá se autenticar de forma correta e o Prompt de Autodiscover-S não irá mais acontecer, porém podemos esbarrar na possibilidade do USUÁRIO SE AUTENTICAR E NÃO VISUALIZAR OS COMPROMISSOS.

Para corrigir este problema basta fazer a DESATIVAÇÃO DO CACHE DO ADFS SERVER utilizando o seguinte KB:

http://support.microsoft.com/kb/2535191

 

Com o KB executado recomendo a reinicialização do servidor ADFS Server e testar o funcionamento perfeito do problema de Free/Busy!

Até a próxima,

Diogo Heringer

clip_image001

DirSync: Filtrando o Sincronismo de Usuários através de campos do Active Directory.

 

Olá pessoal,

É comum fazer o filtro de usuários que não serão sincronizados pelo DirSync através da separação de OUS.  Mas para isso temos que criar uma nova OU e mover os objetos para esta OU, o que pode impactar em GPOS e outros aspectos organizacionais da sua empresa.

Neste post vou ensinar para vocês como fazer filtrar usuários que você não deseja sincronizar através do DirSync, porém estes usuários serão filtrados baseados em um atributo do Active Directory e o FIM ao identificar que este atributo está preenchido com o valor “NoSync”, por exemplo, ele não irá fazer o sincronismo deste usuário.

 

Segue o procedimento:

1 – No Active Directory vamos preencher o campo “Description” do usuário com o valor “NoSync”.

 

image

 

2 – Abrir o “FIM”, navegar até “Management Agents”, clicar com o botão direito em “SourceAD” e em seguida em “Properties”:

 

image

 

3 – Navegar até “Configure Connector Filter” e clicar em “User”:

 

image

 

4 – Clicar no botão “New” e criar o filtro como mostra na figura abaixo:

 

image

 

5 – Clicar em “Ok” duas vezes para fechar as janelas.

6 – Pronto! Agora todos os usuários que estiverem com o campo “Descrição” preenchidos com o valor “NoSync” não serão filtrados pelo DirSync!

 

Até a próxima,

Diogo Heringer

clip_image001

Troubleshoot: DirSync não sincroniza usuários adicionados em um Grupo de Segurança/Distribuição

 

 

 

Após a transição de BPOS para Office 365 é comum que aconteça um erro referente ao “Proprietário” dos “Grupos de Distribuição”. Ao tentar adicionar um “Proprietário” no Grupo de Distribuição/Segurança que foi sincronizado pelo DirSync temos a seguinte mensagem:

 

image

 

Ok, como o usuário é sincronizado com o DirSync devemos alterá-lo no Active Directory, e não diretamente na Console do Exchange Control Panel. O problema está justamente neste momento:

Ao fazer alterações no grupo do meu Active Directory, como inclusão de usuário e remoção de usuário, o DirSync ao sincronizar não atualiza os respectivos grupos no Exchange Control Panel.

Este problema ocorre pois o atributo “DisplayName” dos grupos não estão preenchidos.

 

Para resolver este problema vamos seguir os seguintes passos:

 

1 – Abrir o AdsiEdit.msc e popular o campo “DisplayName” dos grupos:

 

image

 

2 – Alterar o valor da chave de registro:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\FullSyncNeeded” de “0” para “1” para fazer com que o próximo sincronismo do DirSync seja um “FullSync”.

 

image

 

image

 

3 – Abrir o “DirSync Config Shell” e executar o comando “Start-OnlineCoexistenceSync”:

 

image

 

4 – Com a sincronização concluída todos os membros adicionados no ambiente On-Premise serão sincronizados no Exchange Online!

 

Até a próxima,

Diogo Heringer

clip_image001

Projeto Office365: Procedimento de Coexistência/Migração Híbrida

 

 

image

 

Após feita toda a configuração híbrida para efetuar a migração de um ambiente Exchange Server 2003 para o Exchange Online e depois de fazer o move de alguns Mailbox saio deste projeto sabendo que meu dever foi cumprido.

Gostaria de agradecer aos amigos Cláudio Ávila e Carlos Travagini que me ajudaram bastante no decorrer deste projeto e com certeza foram fundamentais para o sucesso do mesmo, apesar de todas as contas ainda não terem sido migradas, agora é apenas uma questão de tempo para migração das restantes.

Neste post vou mostrar o passo a passo de migração de um ambiente Exchange On-Premise para o Exchange Online, utilizando o processo de coexistência Híbrida:

 

1 – Preparando para a Implementação:

Exchange 2010 SP2 Hybrid Servers:

Recomendado a instalação do Update Rollup 2 para o Exchange Server 2010 SP2, pois corrige alguns problemas relacionados a Hybrid Configuration.

  • 64-bit edition of Windows Server 2008 Standard Service Pack 2
  • 64-bit edition of Windows Server 2008 Enterprise Service Pack 2
  • 64-bit edition of Windows Server 2008 R2 Standard Service Pack 1
  • 64-bit edition of Windows Server 2008 R2 Enterprise Service Pack 1

Os seguintes pré-requisitos  também devem estar instalados:

  • .NET Framework 3.5 SP1
  • Internet Information Services (IIS)
  • Windows PowerShell V2.0
  • Windows Remote Management V2.0

 

DirSync:

Requisitos de Computador:

•O computador deve fazer parte de um Domínio
da mesma Floresta que será sincronizada

•Não é necessário estar ingressado no domínio “Root”

•O computador não pode ser um DC

•O computador deve se comunicar com todos os DCS da floresta

 

Recomendação de Hardware

image

 

Requisitos de Software:

•Windows PowerShell versão 2.0

•Microsoft .NET Framework versão 3.5 ou mais novo

•Windows Server 2003/R2 x86 ou x64 com Service Pack 2 ou mais novo, Windows Server 2008 x86 ou x64 com o último Service Pack.

•Microsoft Online Services Sign-In Assistant (Não é um requisito para a instalação, mas necessário para a a conexão com o Office 365)

•Windows Installer 4.5 ou mais novo

 

Serviço de Diretório (Active Directory):

No site do Active Directory onde será instalado o servidor Híbrido de Exchange Server 2010 SP2, é necessário pelo menos um DC com as seguintes configurações:

  • Windows Server 2003 Standard Edition with SP1 or later (32-bit or 64-bit)
  • Windows Server 2003 Enterprise Edition with SP1 or later (32-bit or 64-bit)
  • Windows Server 2008 Standard or Enterprise RTM or later (32-bit or 64-bit)
  • Windows Server 2008 R2 Standard or Enterprise RTM or later
  • Windows Server 2008 Datacenter RTM or later
  • Windows Server 2008 R2 Datacenter RTM or later

O nível funcional da floresta deve ser Windows Server 2003 ou posterior

 

Exchange Server 2003:

  • Microsoft Exchange Server 2003 SP2 ou posterior
  • Organização do Exchange Server 2003 em modo nativo

 

2 – Pré Requisitos para configuração do Ambiente Híbrido

Adicionar domínios SMTP no Office365:

1. Fazer logon no Portal Microsoft Online
2. Clicar em “Admin”, em seguida em “Domains
3. Clicar em “Add a Domain
4. Preencher com o endereço SMTP que será usado pelos usuários. Por exemplo, “contoso.com”. Clicar em “Next” m
5. Clicar em “Verify Domain
6. Seguir as instruções na tela para verificação do domínio. Aguardar cerca de 15 minutos e clicar em “Verify

 

Configurar o DirSync:

Seguir os passos:

1. Pré-Requisitos
2. Planejamento
3. Instalando e Configurando

 

Instalar o Exchange Server 2010 (CAS e Mailbox)

1 – Fazer o download do Exchange Server 2010 SP2

2 – Executar a instalação do Exchange Server seguindo o Tutorial de Instalação do Exchange Server, porém escolhendo a opção “Custom Installation” e selecionando as funções de CAS e MB.

Instalar o Exchange Server 2010 (HUB)

1 – Fazer o download do Exchange Server 2010 SP2

2 – Executar a instalação do Exchange Server seguindo o Tutorial de Instalação do Exchange Server, porém escolhendo a opção “Custom Installation” e selecionando as funções de HT.

( Caso exista algum problema na criação dos Routing Groups ver o post: “Projeto Office365: Criando Routing Groups”)

 

Configurar os Registros DNS

1 – Criar os seguintes registros no DNS:

image

 

Configurar a Interface de Gerenciamento

1 – Abrir o EMC (Exchange Management Console)

2 – Na console, clicar com o botão direito em “Microsoft Exchange” e em seguida em “Add Exchange Forest

 

image

 

3 – Na tela que se abrirá vamos preencher os campos da seguinte forma:

 

image

 

4 – Na tela onde irá pedir as credenciais vamos digitar “Usuário” e “Senha” de um “Global Admin” do tenant Office365.

 

Importar o certificado válido para o Exchange Server (.pfx)

1 – Abrir o Exchange Management Console (EMC), navegar até “Server Configuration” e clicar em “Import Exchange Certificate”:

 

image

 

2 – Na tela que se abrirá vamos dar um “Browse” no certificado, digitar a senha correspondente e clicar em “Next”:

 

image

 

3 – Selecionar o servidor de “Client Access” e clicar em “Next

4 – Clicar em “Import” para concluir a importação

5 – Novamente na tela do “Server Configuration” clicar em cima do certificado importado e em seguida em “Assign services to certificate”:

 

image

 

6 – Selecionar o servidor e clicar em “Next”:

 

image

 

7 – Escolher os serviços de “SMTP” e “IIS”:

 

image

 

8 – Clicar em “Assign” para associar os serviços:

 

image

 

Configurar o Exchange Web Services

1 – Abrir o Exchange Management Console (EMC), navegar até “Server Configuration” em seguida em “Client Access”.

No “Action Panel” clicar em “Configure External Client Access Domain”:

 

image

2 – Definir a URL que iremos utilizar para o nosso servidor “Client Access” e clicar em “Configure”:

 

image

 

Criar o Hybrid Deployment

1 – Abrir o Exchange Management Console (EMC) e navegar até “Organization Configuration”.

Clicar na aba “Hybrid” Configuration” em seguida clicar com o botão direito na tela e em “New Hybrid Configuration”.

 

image

 

2 – Clicar em “New”, aguardar a criação e em seguida clicar em “Finish”.

 

image

 

3 – Clicar com o botão direito em “Hybrid Configuration” que acaba de ser criado e em seguida em “Manage Hybrid Configuration”:

 

image

 

4 – Inserir as credenciais On-Premise ( Organization Administrator ) e também as credenciais Online ( Global Administrators ) e clicar em “Next”:

 

image

 

5 – Inserir os domínios que irão fazer parte do Hybrid Configuration. É necessário criar um sub-domínio, de acordo com o Exchange Deployment Assistant. Para isso devemos criar este subdomínio como “Autoritativo” em “”Organization Management > Hub Transport > Accepted Domains” e também devemos validar este sub-domínio no Portal do Microsoft Online.

Clicar em “Next”:

 

image

 

6 – Criar na Zona de DNS Externa os registros TXT correspondentes ao domínio e subdomínio adicionados no passo anterior.

Clicar em “Next”:

 

image

 

7 – Adicionar os servidores de “Hub Transport” e “Client Access” que irão ser responsáveis pelo Hybrid Configuration:

Clicar em “Next”:

 

image

 

8 – Inserir o endereço IP público do seu servidor Híbrido (Ou endereço IP do Firewall que irá redirecionar) e em seguida preencher a URL referente ao servidores Hibridos de Hub Transport (Endereço escolhido em “Configure Exchange Web Services” neste documento).

Clicar em “Next”.

 

image

 

9 – Na tela da escolha do certificado, automaticamente o certificado importado já será escolhido. Basta clicar em “Next”, caso não queira que as mensagens sejam todas roteadas através do seu ambiente On-Premise:

 

image

 

10 – Clicar em “Manage” para a configuração do Hybrid Configuration:

 

image

 

11 – A configuração foi concluída com sucesso.

 

hybdrid

 

Com a configuração feita agora podemos executar “Remote Move Request” para fazer o move de Mailbox do ambiente On-Premise para o ambiente Online.

 

Até a próxima,

Diogo Heringer

clip_image001

Troubleshoot: GAL Unificada na coexistência Postfix <> Exchange Online

image

O ambiente de coexistência do Exchange Online com a GAL (Global Address List) unificada, só é suportado quando o sistema de correio utilizado no ambiente On-Premise é o Exchange Server. O troubleshoot que irei demonstrar abaixo surgiu de uma necessidade do meu amigo Fernando Andreazi de fazer com que o ambiente de coexistência “Postfix (On-Premise) <> Exchange Online” tivesse uma única GAL (Global Address List).

Após discutirmos juntamente com outros especialistas também conseguimos uma solução que irei demonstrar abaixo:

1 – Inserir o CD do Microsoft Exchange 2010 em um servidor qualquer que faça parte do domínio e através do Prompt de Comandos navegar até a unidade correspondente ao Exchange Server 2010:

image

2 – Executar o comando: setup /PrepareSchema ou setup /ps

(Permissão Necessária: Schema Admins)

3 – Executar o comando: setup /PrepareAD /OrganizationName: <nome da organização> ou setup /p /on:<nome da organização>

(Permissão Necessária: Enterprise Admins)

Agora que nosso ambiente já está expandido para o Exchange 2010 foi habilitado nossas chaves no AdsiEdit.msc, o qual iremos utilizar neste troubleshoot.

4 – Abrir o AdsiEdit.msc e conectar na partição “Default Naming Context”:

image

5 – Expándir a sua estrutura de OUS e localizar o objeto de usuário;

image

6 – Clicar com o botão direito no usuário e em seguida em “Propriedades”. Agora vamos preencher o atributo “TargetAddress” com o endereço de e-mail do usuário , ou seja, o endereço de e-mail “@empresa.com.br” do usuário.

 

image

 

7 – Pronto! Agora a partir da próxima sincronização do DirSync o seu usuário irá aparecer na GAL normalmente.

O procedimento mostrado acima foi feito baseado em apenas um usuário. As organizações sempre terão mais de um usuário, então você deverá utilizar Scripts ou Programas de Terceiros para popular o campo “TargetAddress” de todos os usuários para que elas possam serem vistos na GAL normalmente.

Este procedimento funciona corretamente, porém não é homologado pela Microsoft.

Até a próxima,

Diogo Heringer

clip_image001

Fernando Andreazi

image2_thumb24_thumb image3_thumb2_thumb