Archive for September 2007

Antispam – ORF og Exchange 2003 IMF


Netværks Design for Antispam løsning:

Nedenstående figur illustrerer et eksempel på en Back-to-Back DMZ med private IP adresser.
Dette dokument tager udgangspunkt i denne model.

  1. Exchange 2003 Servere– Konfigureret med IMF v2. [LAN]
  2. Backend Firewall – ISA Server 2004/2006 med 2 netkort til LAN og DMZ. [DMZ]
    Er member server i domænet og har således AD-integration. Der er installeret ORF + servicen smtpsvc, som kommer med IIS 6.0
  3. Frontend Firewall – Feks. Sonicwall eller Cisco hvis primær funktion er at beskytte DMZ. [WAN]
    Man benytter i dette tilfælde kun WAN og LAN porten.

Mail-Flow:

Mails kommer ind via frontend firewall på port 25.
Fontend FW forwarder smtp trafikken til Backend FW, hvor ORF træder i kraft.
De spam-mails der slipper igennem ORF filteret bliver sendt videre til IMF filteret på exchange 2003 servveren.
Via IMF Antispam settings bliver spam-mails enten opsamlet i en Archive folder eller bliver redirectet til brugernes junk folder.

Konfig af IMF v2 på exchange serveren:

Inden opsætning skal man sikre sig følgende:
Der er installeret SP2 på Exchange serveren. Hvis man tidligere har benyttet IMF v1 skal denne afinstalleres inden man installere SP2.
IMF er nu en integreret del af exchange, som kommer med SP2. IMF er ikke supportet i et Exchange cluster setup.
Hvis man har Frontend/backend exchange setup, skal IMF installeres på frontend.
For aktivere IMF, skal man gøre følgende:
Start ESM – Global settings – Message delivery – properties
Vælg her fanebladet “Intelligent Message Filtering”

 

Sæt her gateway blocking til 7 og Store junk til 5. Disse værdier kan man ændre over tid.
Det betyder at hvis en mail får SCL rating 7 eller derover bliver den arkiveret i en central folder på exchange serveren. Alle disse mail vil typisk være rent spam med få falske posetiver.
De mails der får en SCL mellem 5 og 7 bliver automatisk sendt videre til brugernes junk-folder.
Hvis ovenstående setup giver for mange falske/posetiver skal man ændre SCL værdierne til feks 9-7.
Hvis man ikke mener at IMF filteret er effektivt nok skal man nedsætte SCL værdierne. Personligt har jeg i mit test-setup SCL til 6-4 og det spiller helt fint.
Det skal bemærkes at jeg vælger at arkivere frem for at delete. Jeg kan derfor tillade at køre med en lavere SCL rating.
En SCL rating på 9 er helt sikkert spam.
De sidste man skal gøre for at aktivere IMF er følgende:
Gå til Administrative Groups – First Administrative Group – Exchange serveren – Protocols- SMTP – Default SMTP Virtual Server – Properties


Vælg Advanced.


Klik på knappen Edit og sæt hak ved “Apply IMF”


Restart SMTP servicen på exchange serveren.

Administration af IMF v2 på exchange serveren:

De mails der bliver arkiveret på exchange serveren ligger default i følgende sti.
C:Program FilesExchsrvrMailrootvsi 1UceArchive
Denne sti kan ændres. Se nedenstående taget fra IMF deployment Guide.

1. Where are the messages archived?
Messages are archived in the UCEArchive folder. By default this folder is created in exchsrvrmailrootvsi 1 folder – where 1 is the instance number of SMTP virtual server.

2. Is there a way to change the location of the UCEArchive folder?
Yes, this is done by inserting a registry value of type String (REG_SZ)
HKLMSoftwareMicrosoftExchangeContentFilter
Value: ArchiveDir
Type: REG_SZ (string)
Value data: path to archive folder

3. I set the action to Archive. Why don’t I see the UCEArchive folder in the default location?
The UCEArchive folder is created when the first message meeting or exceeding the gateway threshold is received.

Things to check when you don’t see the UCEArchive folder:
– Is the action set to Archive?
– Is IMF enabled on SMTP virtual server?

De spam mail der bliver arkiveret i userarchive kan kun tilgås via Outlook express eller 3 part værktøjer.
Jeg vil her anbefale nedenstående.

  1. IMF Archive Manager
  2. IMFcompanion
    http://www.gotdotnet.com/workspaces/releases/viewuploads.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
    http://stoekenbroek.com/imfcompanion/default.htm

Jeg benytter selv IMFcompanion, som både virker på XP og Vista.
For at tilgå userarchive via IMFcompanion, skal folderen shares ud på exchange serveren.
Herefter indtaster man stien i IMFcompanion. Nedenstående viser spam mail i userarchive


Userarchive visning via IMFcompanion. Man kan her delete eller frigive mails.


Vigtigt: IMF opdateringer kommer ca. hver 14 dag og de bliver udrullet via WSUS.
Man skal her ind og approve dem i WSUS serveren. Det kan godt betale sig at laver logiske opdaterings grupper i sin WSUS.

Reference til IMF v2:
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx
http://www.microsoft.com/downloads/details.aspx?FamilyId=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en

Konfig af ORF på ISA 2004/2006:

ORF vil være den primære Antispam løsning, som skal installeres på ISA serveren.
Link til ORF – http://www.vamsoft.com/
Teknisk info omkring ORF og hvad den p.t. understøtter:
http://www.vamsoft.com/orfee_prodspec.asp

Man kan her downloade en 30 dages trial version.
Inden man installere ORF, skal man forinden have installeret SMTPSVC servicen på ISA.
ORF har et såkaldt dobbelt filter, som betyder at den kan afvise mails med.
minimum af ressourcer. Det håndtere bla DNS blacklist, imagespam, Active directory integration, greylistning m.m.
Med eksisterende konfig filer tager hele installationen + opsætning under 15 minutter.
For mig at se er ORF et af de bedste Antispam programmer der er på markedet i dag. Samtidig er prisen helt i bund.
En server licens med ubegrænset brugere koster under 300$.

PolicyMaker Registry Extension


Microsoft overtog sidste år i oktober firmaet DesktopStandard. Med dette opkøb fik Microsoft også adgang til freeware applikationen PolicyMaker Registry Extension,
som vil blive en del af den fremtidige GPO struktur.
“PolicyMaker Registry Extension” erstatter behovet for at skrive custom ADM templates til diverse applikationer, samt system konfig.
Man kan med fordel anvende PolicyMaker Registry Extension på følgende platforme – Terminal – Citrix – Workstations.
Det betyder at man nu kan udrulle alle sine Registry settings via en native Group Policy.
Det giver et dejligt overblik og man slipper således for at holde styr på en masse reg/script filer.

System krav:

  • Skal installeres på de servere/workstations, man normalt administrere sine GPO’er fra.
  • Windows 2000/XP/2003/Vista
  • GPMC

På klienterne som skal opdateres, skal man have installeret en klient (polregcl.msi). Denne kan rulles ud via en GPO eller installeres manuelt.
Når man har installeret “PolicyMaker Registry Extension” på sin Admin server/workstation, kan man finde klienten i følgende sti:
“C:Program FilesDesktopStandardPolicyMakerClientpolregcl.msi”.
Som eksempel kunne man udrulle 3 Registry ændringer til en række Citrix desktop brugere.
Det er her en fordel at have en virtual Test server/workstation hvor disse registry ændringer er sat. De 3 ændringer er som følger:

  • Show System Clock
  • Show Quick Launch
  • Disable Print Notification

Jeg viser her fremgangsmåden for “Show System Clock”. Princippet er det samme for de 2 andre ændringer.
Start GPMC – Opret en ny GPO med navnet DesktopStandard – Gå til User Configuration – User Settings – Registry – Opret en ny “Collection Item” med navnet “Show System Clock”.

Opret herefter en ny Registry Item under den føroprettede collection. Værdierne kan man browser efter på en local eller remote test server/workstation.
Nedenstående vil herefter bliver oprettet automatisk.
Action: Update
Hive: HKEY_CURRENT_USER
Key Path: SoftwareMicrosoftWindowsCurrentVersionExplorerStuckRects2
Value name: Settings
Value type: REG_BINARY
Value Data: 28000000FFFFFFFF02000000030000003C0000001E000000FEFFFFFFFE030000920600001C040000
Se nedenstående billeder for GUI.

  
 

PolicyMaker Registry Extension tilbyder også et avanceret filter, hvor man kan bestemme hvilke Brugere/workstations der skal have denne registry opdatering udefra nedenstående options.
Ovenstående viser et eksempel på en Windows desktop opdatering via Registry.
Men “PolicyMaker Registry Extension” er også et rigtigt godt Add-On til ens eksisterende software deployment (Adobe,
Oracle, SAP GUI, Java, mfl.),
hvor man efterfølgende har behov for en række centrale registry ændringer.

How to transfer logins and passwords between instances of SQL Server


Når man har flyttet en SQL database fra en server til en anden, er problemet at man ikke får brugernavn og password med.
Når man prøver at connecte til databasen på den nye server, får man en login fejl.
Nedenstående procedure beskriver hvordan man flytter brugernavn og password.
http://support.microsoft.com/kb/246133

Endvidere, hvis man prøver at restore en SQL database over på en anden server får man samme problem.
Jeg tidligere brugt nedenstående link med stor succes, når jeg skulle restore over på en anden server.
http://www.smallbizserver.net/tabid/266/articleType/ArticleView/ArticleID/171/PageID/226/Default.aspx

Recover en SQL database uden logfil og backup


For SQL 2000:


Jeg var ude hos en kunde, som kører systemet “Exchange Central” på en SQL 2000 server.
Logfilen var blevet korrupt og databasen var gået i “suspect mode”.


Logfilen var på ca. 80 GB og havde taget det meste af pladsen på deres log-partition. Retention tid for deres sidste native SQL backup var blevet overskrevet.
Jeg fandt så nedenstående udokumenteret procedure og fulgte den slavisk. Det virkedetilsyneladende helt fint.
http://blog.spaceprogram.com/2002/06/recovering-from-deleted-log-file-on_12.html

Problemet var bare, at jeg ikke fik restoret “stored procedure”, som “Exchange Central” var afhængig af. Så jeg måtte finde en anden løsning.
Efter en kort google søgning, fandt jeg nedenstående restore procedure (udokumenteret) og den virkede helt perfekt.

Trin 1 Backup the current database file:
Stop SQL Server service.
Backup den eksisterende database (i mit tilfælde hed den ExchangeCentral.MDF).
Rename Corrupted log file.
Start SQL Server service.

Trin 2 Change the database context to Master and allow updates to system tables:
Use Master
Go sp_configure ‘allow updates’, 1
reconfigure with override
Go

Trin 3 Set the database in Emergency (bypass recovery) mode:
select * from sysdatabases where name = ‘ExchangeCentral’
– note the value of the status column for later use in # 5
begin tran
update
sysdatabases set status = 32768 where name = ‘ExchangeCentral’
– Verify one row is updated before committing
commit tran


Stop and restart SQL server.

Trin 4 Call DBCC REBUILD_LOG command to rebuild a “blank” log file based on the suspected db:
DBCC rebuild_log(‘ExchangeCentral’,‘D:SQLlogExchangeCentral_log.LDF’)

Trin 5 Set the database in single-user mode and run DBCC CHECKDB to validate physical consistency:
sp_dboption ‘ExchangeCentral’, ‘single user’, ‘true’
DBCC checkdb(‘ExchangeCentral’)
Go
begin tran
update
sysdatabases set status = 0 where name = ‘ExchangeCentral’
– verify one row is updated before committing
commit tran
Go

Trin 6 Turn off the updates to system tables by using:
sp_configure ‘allow updates’, 0
reconfigure with override
Go

Trin 7 How to stop the transaction log of a SQL Server database from growing unexpectedly:
http://support.microsoft.com/kb/873235

For SQL 2005 – Denne metode har jeg ikke testet endnu.
Create a new database with the same name and logical file names.
Stop SQL Server service.
Swap in the old mdf file with a copy of the rescued mdf (no logfile).
Start SQL Server service and let the database attempt to be recovered and then go into suspect mode.
Put the database into emergency mode with alter database dbname set emergency
Run DBCC CHECKDB (dbname, REPAIR_ALLOW_DATA_LOSS) which will rebuild the log and run full repair.
For mere info omkring ovenstående process se dette link.
http://blogs.msdn.com/sqlserverstorageengine/archive/2006/06/18/636105.aspx

Troubleshooting Slow Citrix and Terminal Server Logons


Nedenstående er en rigtig god artikel fra Brian Madden, omkring debug af TS/Citrix logon.
http://www.brianmadden.com/content/article/Troubleshooting-Slow-Citrix-and-Terminal-Server-Logons

Samtidig giver den også et tip om det geniale AutoRuns fra SysInternals, som selvfølgelig også kan anvendes udenfor dit TS/Citrix miljø.