AndyTales.net

70-238 - Pass!

Andreas — Wed, 28 May 2008 11:25:06 GMT

Da var 70-238 passert også. Jeg valgte å ta 70-238 før 70-237 selv om det virker "ulogisk" mest fordi det var mer materiale tilgjengelig så vidt jeg kunne se når jeg begynte å lese. Det har jo ikke så mye å si heller i hvilken rekkefølge man tar de to.

Det var vel en av de "hyggeligere" eksamener jeg har vært borti, med relevante spørsmål som jeg også kan relatere til hverdagen :) (Er jo ikke alltid man kan det med Microsoft-eksamener.)

Viktige poeng for å ta denne eksamenen:
- Forstå de forskjellige rollene i Exchange 2007; Client Access Server, Hub Transport, Mailbox og Edge. Hva de brukes til, hvordan de spiller sammen, etc.
- Forstå hvordan du kommer deg fra Exchange 5.5/2000/2003 til Exchange 2007. Du behøver ikke vite konkrete kommandoer og tastesekvenser, men for eksempel sånne detaljer som at hvis du har Exchange 5.5 må du gå via Exchange 2003 hvis du skal oppgradere.
- Lær deg forskjellen på de forskjellige Cluster-teknologiene i Exchange 2007; Local Clustering Replication (LCR), Single Copy Clustering (SCC) og Cluster Continous Replication (CCR).
- Standby Clustering Replication (SCR) som ble introdusert med Service Pack 1 til Exchange 2007 har ikke rukket å bli en del av eksamen ennå.
- Forstå hvordan forskjellige Exchange organisasjoner kan spille sammen; for eksempel "Ditt firma kjører Exchange 2007, og så kjøper dere et firma som kjører Exchange 2003" etterfulgt av noen spørsmål om hvordan informasjon flyter mellom de to firmaene.
- Forstå hvor du setter hvilken Exchange-boks hvis du har flere lokasjoner; eksempelvis "All mail til internett skal gå gjennom hovedkontoret" indikerer at du muligens bare skal ha Edge på hovedkontoret. (Avhengig av hvilken andre parametere som er oppgitt i spørsmålet naturlig nok.)

Så da var det bare å sette seg ned med neste eksamen, men det haster ikke her og nå :)

WM 6.1 - Setting av nye policies (uten bruk av server)

Andreas — Fri, 09 May 2008 07:56:00 GMT

Jeg skrev i min forrige post (Exchange 2007 SP1 + Windows Mobile 6.1 = Nye policies) at Exchange 2007 SP1 introduserte nye policies - da spesielt i tospann med Windows Mobile 6.1. Og har du først WM 6.1 så kan du få ytterligere flere innstillingsmuligheter hvis du har System Center Mobile Device Manager 2008 (SCMDM2008).

Jeg hadde mine mistanker om at siden det trolig er en feature på klienten hvordan dette implementeres burde det være mulig å få det til uten Exchange 2007. Etter litt research fant jeg ut at joda - man kan knote inn uten Exchange/SCMDM. Alltid godt å få bekreftet det man tror :)

Jeg skal ikke gå i dybden angående provisioning, (som jeg benyttet), siden dette står beskrevet i detalj både på MSDN og google. Det er i hvert fall ikke et hemmelig triks for å si det sånn. Men for å ta det i veldig korte trekk:
- Skriv en tekstfil med provisjonerings-XML.
- Lagre som _setup.xml.
- Kjør "makecab xxx.cab _setup.xml". (Makecab installeres enten med Visual Studio eller lastes ned som et frittstående verktøy fra Microsoft.)
- Overfør fil til din enhet (via ActiveSync, minnekort, eller hva du foretrekker).
- Kjør fil.
- Se om det fungerte :)

Det finnes andre måter å provisjonere også, men dette er den enkleste når du bare skal lage noe enkelt på pcen og få inn på enheten uten alt for mye innsats.

Det er viktig å observere at enkelte settings/policies kan kreve at du har utvidede rettigheter på enheten og at dette innebærer at du må signere cab-filen med et riktig sertifikat.

Men hva skal inn i denne "magiske" filen? Jeg har valgt her å teste policien som blokkerer muligheten for å sette opp POP3/IMAP4-kontoer på enheten. Dette er XMLen som skal til for å gjøre det:

<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4148" value="0"/>
</characteristic>
</wap-provisioningdoc>

Resultatet? Like this:

Neste logiske oppfølgingsspørsmål her blir selvfølgelig - "og hvordan kan man vite at denne disabler POP/IMAP, og hva betyr 4148?". Nei, det var det da :) Noe av dette står beskrevet og dokumentert på MSDN; så det kan være et greit sted å starte for å finne ut mer. Noen andre settings er mindre dokumenterte. (Mulig jeg kommer tilbake med fler settings senere, men jeg garanterer ingenting:) )

Så skal det sies at jeg her har satt opp en Exchange-kobling før jeg la inn denne sperren. Du benytter "Opprett e-post" også for å sette opp Exchange, men meldingen som sier no go kommer før du kan velge hva slags konto du skal sette opp. Så det kan jo være verd å teste om man faktisk får satt opp Exchange hvis man legger inn denne sperren - selv om sperren bare skal blokkere POP/IMAP. I den offisielle Microsoft-verden er jo ikke dette et problem siden det er Exchange som skal sette policyen :)

Husk også at hvis det både er definert en policy på Exchange, og du endrer settingen lokalt på enheten, kan Exchange overskrive dette hvis det er satt en policy refresh intervall.

Og sist, men ikke minst - jeg vet at jeg skrev "uten server" i tittelen. Men det sier seg selv at det er ikke et alternativ å distribuere diverse cab-filer via mail/minnekort som en løsning for device management. Derimot så kan det jo hende at du har et annet system enn Exchange hvor du ønsker å kunne gjøre noen av disse tingene.

Relevante linker:
Microsoft Cabinet Software Development Kit (makecab)
Managing Windows Mobile Powered Devices (MSDN)

Exchange 2007 SP1 + Windows Mobile 6.1 = Nye policies

Andreas — Thu, 24 Apr 2008 13:21:02 GMT

Det er kjent, (for de som følger med på slike ting), at det kom noen nye features for ActiveSync og Windows Mobile med Service Pack 1 til Exchange 2007. Selve det faktum at man kan synkronisere enhetene er jo ikke nytt, men det kom endel nye policy-innstillinger for å kontrollere enhetene og sette et bestemt sikkerhetsnivå.

De forskjellige innstillingsmulighetene er vist nedenunder:

Hvis du har RTM av Exchange 2007 vil du ha tilsvarende fliker, men ikke de samme sjekkboksene. Dessverre ser man ikke fra interfacen hva som er Windows Mobile 6.1 features og hva som er WM 6.0 / WM 5.0. (Skal vi være nøyaktige går det på ActiveSync-versjon, og derfor kan det også fungere på Nokia med Mail for Exchange så lenge den støtter samme versjon som korresponderende Windows Mobile.)

De fleste innstillingene er ganske selvforklarende og jeg går ikke i detalj, men kan forklare noen utvalgte:
- "Allow non-provisionable devices". Dette går på hvorvidt vi tillater enheter som ikke oppfyller alle innstillingene vi ønsker å koble til og synkronisere. Det vil si at hvis settingen krever Windows Mobile 6.1 kan ikke Windows Mobile 5.0 koble til. Hvis du bruker Nokia E-serie med Mail for Exchange går det kanskje bra, men Nokia N-serie funker ikke. Gjør dine testinger og vurderinger.
- "Allow Bluetooth" kan settes til Enable, Disable eller Handsfree only.
- Noen av innstillingene er oppgitt til å kreve Enterprise CAL. Dette er så vidt jeg kan finne ut ikke en teknisk sperre, eller at noe må skrus på, men at man må holde oversikten papirmessig at det matcher lisensene man har.
- Forskjellen på "unsigned application" og "unsigned installation package" er blokkering av .exe & .dll versus blokkering av .cab. Muligheten for to nivåer av blokkering kan være nyttig i noen scenario. Merk at brukeren fremdeles får opp advarsel og må bekrefte ved installasjon av usignerte caber.

Ulempen med mange av disse innstillingene er at det ikke har vært mulig å teste de i praksis da de krever Windows Mobile 6.1. Jeg har ventet litt på enheter med den versjonen av Windows Mobile, men har først nå fått mine klamme fingre rundt en fungerende ROM. (For de som tenker at dette har vært på Xda i lang tid så er det riktig, men jeg har anskaffet dette via noe mer lovlige kanaler.)

Du kan selvfølgelig lage forskjellige ActiveSync-policier og definere de til å gjelde for forskjellige brukergrupper avhengig av dine behov. Jeg valgte å gjøre det veldig enkelt for testens skyld og lagde bare en policy som vist i skjermbildene over.

Enheten ble satt opp via Autodiscover, (se tidligere post: Windows Mobile 6.1 + Autodiscover = Go), og når synkroniseringen begynte fikk jeg beskjed om å godta det faktumet at det er en policy på server. (Dette får man også med Windows Mobile 6.0 og SP1.) Så tygget ActiveSync litt før den presenterte en beskjed om at det var gjort endringer som krevde restart av enheten. Helt ok. Når jeg deretter forsøkte å skru på Bluetooth og WLAN var det no go. Det underlige er at avhengig av hvor i brukergrensesnittet du forsøker å aktivere det så er det enten en tydelig beskjed om hvorfor det ikke fungerer, eller så bare fungerer det ikke. Det kan muligens forvirre noen brukere...

Selvfølgelig har vi også noen screenshots av hvordan dette ser ut på enheten :)
Comm Manager:

WLAN og Bluetooth er grået ut. Å trykke på WLAN har ingen effekt. Trykke på Bluetooth får enheten til å tenke litt, men gjør heller ikke noe.
Innstillinger->Trådløst LAN. Ingen effekt ved å trykke på "Slå på WLAN".

Forsøk på å aktivere Bluetooth ved å gå på Innstilllinger->Bluetooth

Internet Explorer:
Start-meny før og etter blokkering av browser.

Forsøk på å starte Internet Explorer (siden det tross alt fremdeles er et ikon der):

Jeg aktiverte også kryptering av enheten, ikke bare minnekortet som i WM 6.0, og man får da beskjed når man booter at enheten er kryptert før man trykker inn PIN-kode/passord. Jeg kommer til å teste denne krypteringen nærmere da jeg har litt blandet erfaring med kryptering fra tidligere av med tanke på ytelse og brukeropplevelse.
Et par ting er verd å nevne rundt denne funksjonen:
- Den kan kun aktiveres fra serverside. Det er ikke mulig på enheten å aktivere annet enn kryptering av minnekort.
- Kryptering gjelder enten hele enheten, eller ingenting.
- Det er mulig å konfigurere kryptering mer finkornet - via System Center Mobile Device Manager (SCMDM2008), men altså ikke via Exchange.

Hvis du endrer policy så kan det ta litt tid før det skjer endring på enheten avhengig av replikering på Exchange, om du har push eller intervallsynk på ActiveSync, etc. Endel av innstillingene, (i hvert fall de som har med disabling/enabling å gjøre), krever en soft reset av enheten så skal du teste og leke bør du kanskje ha en egen policy for dette så ikke andre brukere må soft resette enhetene sine villkårlig.

Remote Desktop + Hyper-V + NumLock => password = ?

Andreas — Wed, 23 Apr 2008 12:33:00 GMT

Fikk en fin liten nøtt å knekke i dag når jeg skulle logge på en virtuell domenekontroller... Feil brukernavn/passord. Dobbelsjekket at det var riktig skrevet, men no go. Jeg endret passordet forrige uke, men jeg var sikker på at det jeg endret til var det jeg skrev. I testmiljøer har jeg egentlig ikke for vane å endre passord så ofte, men Windows Server 2008 har default at også adminkontoens passord må byttes. (Kan selvfølgelig endres, men husket ikke på det under installasjon.)

Når jeg klarte å koble noen av mine andre opplevelser med Hyper-V med dette kom jeg på at det er en "feature" når du bruker Remote Desktop mot Hyper-V host, og så bruker konsollet videre mot Hyper-V guests, så kan tastaturet finne på å switche mellom Num Lock av/på litt villkårlig. Dette er et problem på noen av tastaturene jeg har som ikke har dedikert numpad, men har en slags "fake numpad" inne blant de vanlige tastene. Derfor hadde trolig den switchet seg på mens jeg skiftet passord, og med andre ord var passordet satt til noe jeg ikke hadde noen som helst forutsetning for å gjette meg fram til.

Jeg hadde passordet som ble satt når jeg kjørte dcpromo. Dermed kunne jeg boote i Directory Services Restore Mode (DSRM), og komme inn på boksen dog uten mulighet for å resette noen AD-passord. Fant en fin guide for Windows Server 2003 (http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm) og tenkte denne kunne forsøkes. Prosedyren ga aldri noen feilmelding, men det var ikke mulig å logge inn når jeg bootet normalt så jeg kom vel fram til at metoden ikke fungerte. (Fremdeles feil passord.) Men det ga meg noen idéer til noe annet jeg kunne forsøke :)

Hvordan nullstille passord for domain admin i Windows Server 2008:
- Boot server i Directory Services Restore Mode (DSRM). Gjøres ved å trykke F8 under boot.
- Logg på med lokal admin konto.
- Regedit:
Key: HKLM\System\CurrentControlSet\Control\Lsa
Entry: DSRMAdminLogonBehavior
Type = REG_Dword
Value = 2
- Reboot og start i normal modus.
- Logg på med DSRM-kontoen.
- Fyr opp kommandolinjen og kjør "net user administrator nytt_passord /domain".
- Logg av.
- Logg på med domain admin igjen for å sjekke at det fungerte.

Så bør du vurdere om DSRMAdminLogonBehavior skal settes tilbake til default som er 0. (Se link lenger ned for detaljene.)

For mer info:
Windows Server 2008 Restartable AD DS Step-by-Step Guide

Vista SP1 [NOR] og RSAT

Andreas — Wed, 16 Apr 2008 12:46:00 GMT

Da var endelig norsk Service Pack 1 til Vista sluppet også. Tenkte at det da var på tide og legge inn RSAT (Remote Server Administrator Tools) siden den har SP1 som requirement. Men, så enkelt var det jo selvfølgelig ikke...

Vet ikke om dette er spesifikt for min Vista, at det er norsk Vista jeg har, eller noe tilfeldig. Men fikk i hvert fall feilmelding 0x80004005 "Ukjent feil", og ikke så mye mer framgang.

Hvis du skulle oppleve dette er dette løsningen jeg måtte benytte:
- Fyr opp en kommandolinje
- "expand -f:* C:\RSAT\Windows6.0-KB941314-x86.msu %TEMP%"
- "pkgmgr /ip /m:%TEMP%\Windows6.0-KB941314-x86.cab"
- Du får ikke opp noen grafisk indikator, så du kan enten gå opp ta deg en kopp kaffe, eller vente til pkgmgr forsvinner fra prosesslisten i Task Manager.
- Start->Kontrollpanel->Programmer og funksjoner->Slå Windows-funksjoner på eller av.
- Huk av for Remote Server Administration Tools og trykk "OK".

RSAT kan kun installeres på Vista Business, Enterprise eller Ultimate. (Siden det kreves medlemskap i domene.)

RSAT kan lastes ned fra MS og finnes i 32-bits og 64-bits versjoner:
32-bit: Microsoft Remote Server Administration Tools for Windows Vista with SP1 (x86)

64-bit:Microsoft Remote Server Administration Tools for Windows Vista with SP1 (x64)

Windows Mobile 6.1 + Autodiscover = Go

Andreas — Tue, 15 Apr 2008 17:48:00 GMT

Tidligere har jeg nevnt at Autodiscover i Windows Mobile hadde sine begrensinger (Autodiscover + Windows Mobile = No go).

Nå er Windows Mobile 6.1 lansert, og denne gangen står det eksplisitt i slideshowene at Autodiscover skal støtte Exchange. (Needless to say krever det Exchange 2007.) Så dette måtte jeg jo da verifisere. La oss være ærlige nok til å innrømme at det kan kreve litt mekking for at det skal fungere alt avhengig av din infrastruktur. Jeg publisererer Exchange og Autodiscover via ISA Server 2006, og det er da der endel konfigurering havner.

Så hvordan ser resulatet ut? Jo, du starter med å skrive inn epost-adresse og ditt tilhørende passord:

Forhåpentligvis får du beskjed om at "Auto Setup found settings":

"Finish" og så skal synkronisering starte. (Du kan selvfølgelig velge å redigere innstillinger for hvor mange dager som skal synkes, etc akkurat som før.) Med andre ord ikke noe knoting med å skrive inn serveradresse og slikt. Mange vil vel si at det ikke var så vanskelig det heller, men ser man fra et sluttbrukerperspektiv er det vel flere som vet epost-adressen sin enn serveradressen til ActiveSync.

Nå krever det som sagt litt for å få det til å fungere så sømløst, så hvis du i bilde 3 får beskjed om at innstillinger ikke kan finnes får du et nytt forsøk. Da må du velge at det er en Exchange-konto du skal sette opp, fylle inn epost-adresse, passord, og domene - og så hentes serveradresse automatisk. Det krever fremdeles Exchange 2007 og riktig oppsett på server, men kan hjelpe deg i i tilfeller hvor domenenavn og epost-adresse ikke er det samme.

SCMDM2008 - Nå også med dokumentasjon!

Andreas — Mon, 07 Apr 2008 11:08:00 GMT

En av tingene jeg var irritert over når jeg skulle installere System Center Mobile Device Manager var den heller spartanske dokumentasjonen, også kjent som mangelen på sådan. Samtidig som Windows Mobile 6.1 offisielt ble bekreftet viste det seg at Microsoft hadde noen dokumenter liggende på lur. (Tilfeldig at tidspunktene var sammenfallende? Helt sikkert...)

MS har lagt ut både generell dokumentasjon, (Architecture, Planning Guide, Deployment Guide), og en del nyttige verktløy som blant annet et enkelt resource kit og en Best Practices Analyzer. Det var ikke dumt å få tilgang til det :)

Check it out: http://technet.microsoft.com/en-us/scmdm/default.aspx

System Center Mobile Device Manager 2008 (SCMDM2008) - Screenshots

Andreas — Wed, 26 Mar 2008 19:38:00 GMT

Jeg nevnte når jeg skrev om installasjon at det var mulig jeg klarte å ta noen screenshots også. Det har jeg nå gjort, og selv om man ikke akkurat blir opphisset av det så ligger det jo noe i "seeing is believing". Det gir en idé om hva det går ut på i hvert fall :)

Som nevnt er det forskjellige komponenter av admin tools. (Jeg har to servere - 1 DM & Enrollment Server, og 1 Gateway.)
Device Management Console:

Hovedbildet i DM-konsollet.

Serveroversikt. Merk at det her vises som 3 logiske servere, selv om det bare er 2 servere. (Kan sees ved at "Server Name" er det samme for rollene "Device Management" og "Enrollment".) Det er ikke synlig på dette bildet, men "mdm-gw" er plassert i DMZ.

Gateway Management viser hva som er koblet opp av Gateway-servere og hvorvidt de er i synk og fungerende. Ved feil konfigurering i forhold til åpne porter, og sertifikater vil bildet ikke nødvendigvis se slik ut...

Siden det ikke er noen devicer som er koblet opp mot dette miljøet, (pga mangel på enheter med Windows Mobile 6.1), er det ikke så mye å vise fram fra de videre opsjonene under det første screenshotet.

Hvis du skulle foretrekke å administrere via kommandolinjen, for eksempel i noen scripting-scenarioer, er dette også en løsning med Powershell integrert.

Konsollet for software-distribusjon (basert på WSUS) er et eget MMC-konsoll.

Pakkeoversikt.

Oppsummering av enheter og status i forhold til pakker.

Et utvalg av rapporter og oversikter.

Heller ikke her så mye konkret å vise fram ennå.

Hvis du konkret ønsker å sette innstillinger/policies/etc så er det Group Policy som gjelder og de tilhørende verktøy for dette. Siden GPMC ikke er helt kompatibelt med 64-bits OS så er dette screenshots fra en 32-bits server hvor det er lagt inn de nødvendige extensions.

Windows Mobile Settings.

Forklaring til policy som blokkerer SMS & MMS.

Det er selvfølgelig mange fler innstillinger enn det lille man kan se her, hvorav noen mer interessante enn andre.

Dette skulle gi en liten smakebit på hvordan produktet ser ut fra admin-siden - vi kommer tilbake til klientsiden senere :)

Hyper-V - RC0

Andreas — Tue, 25 Mar 2008 21:50:00 GMT

Hyper-V ble akkurat tilgjengelig i Release Candidate 0. (Akkurat betyr i denne sammenhengen samme dag som jeg tok påskeferie, og derfor ingen aksjon før nå.) Siden Hyper-V tilfeldigvis er det som får noen av mine bokser til å snurre rundt og disse i øyeblikket kjørte beta tenkte jeg at det ville neppe skade å oppgradere de.

Jeg fryktet at det ikke var en upgrade path, og at det involverte reinstallasjon eller noe, men heldigvis ikke. Framgangsmåten er enkel :)
- Last ned relevant patch fra http://support.microsoft.com/kb949219
- Ta en vanlig shutdown av de virtuelle boksene. Husk å notere ned innstillinger for nettverkskortet først da disse må inn på nytt senere.
- Slett virtuelle nettverk og nettverkskort du evnt har laget.
- Kjør nevnte hotfix/patch/upgrade på den fysiske boksen.
- Reboot.
- Slett de virtuelle maskinene. Bare selve konfigen, og ikke den virtuelle harddisken. Notér ned innstillingene først så du kan sette opp disse på nytt. (Du kan for så vidt slette disse før rebooten, men hos meg var det en eller annen underlig bug som ikke tillot meg å gjøre det. Nei, det hjalp ikke å bare restarte servicen heller.)
- Opprett virtuelle nettverk/nettverkskort på nytt.
- Opprett nye virtuelle maskiner, og koble disse mot de korresponderende virtuelle diskene.
- Fyr opp de virtuelle boksene.
- Hvis den virtuelle boksen er Windows Server 2008 kjør samme patch der som på den fysiske boksen. Reboot når du får beskjed. Når den er oppe igjen konfigurerer du nettverkskortet på nytt.
- Hvis den virtuelle boksen er Windows Server 2003 Action->"Insert Integration Services Setup Disk". Bekreft at du vil oppgradere fra eksisterende versjon. Reboot. Konfigurer nettverkskort på nytt.

Dette var egentlig ganske pain free, med en liten gotcha :) Hvis du skal remote inn på den fysiske boksen, og derfra bruke konsollet inn (du kan jo ikke remote direkte uten nettverkskort) bør du være vass på å navigere med tastatur i Windows. (Og husk at du ikke nødvendigvis klarer å ta i bruk Alt-Tab, Ctrl-Esc, etc.) Siden du ikke har de rette drivere og integration services vil ikke mus fungere som den skal. Det er mulig med litt kreativitet, men hvis du har direkte tilgang inn på den fysiske boksen bør du vurdere det.

Jeg har ikke rukket å registrere om det er noen økning i performance, men de sier det skal være det. I tillegg så er det vanlige med masse fiksede bugs, etc.

System Center Mobile Device Manager 2008 - Installed!

Andreas — Thu, 13 Mar 2008 10:41:00 GMT

Da var det også mulig å laste ned SCMDM2008 fra Technet/MSDN. (Ble tilgjengelig 11.03 en gang mellom midnatt og 08 norsk tid:) ) Jeg vet at det kanskje er bare meg og mine sære interesser, men jeg har sittet og ventet litt på den og har hatt en intensjon om å være kjapt ute med å laste ned den og teste. Første overraskelse var at nedlastingen var et .iso på "usle" 27 MB, men behøver vel ikke klage på det :)

For en kortfattet oppsummering av produktet som sådan refererer jeg til min egen "Preview light".

Min jobb er blant annet å sitte og "leke meg" med systemer for Mobile Device Management så når jeg nå satt meg ned for å evaluere dette var det både med tanke på å sammenligne dette med referansene jeg har fra andre løsninger, og lære meg et nytt system.

Som tidligere nevnt så er denne løsningen designet for å gjøre PDA/Smartphone-enheter til en del av domenet så har du ikke et domene kan du egentlig bare stoppe der :) Enhetene i felten får en VPN-tilkobling til domene via mobilnett/WLAN/etc gjennom en Gateway Server, (som er naturlig å plassere i DMZ). Denne serveren samkjører seg inn mot en Device Management Server (som holder rede på enhetene) og Enrollment Server (som håndterer sertifikat for enhetene). Mer om detaljene senere.

For å få det installert er det et par ting du må på plass først:
- Du må kjøre en Enterprise CA (som er installert før du starter å installere SCMDM).
- En MS SQL server (kan legges på samme boks som SCMDM, men må selvfølgelig uansett inn først).
- Minimum 2 servere (én for Gateway, og én for Device Management & Enrollment). Disse må kjøre Windows Server 2003 SP2 64-bit. (Samme om det er R2, Standard, Enterprise, etc.)

I tillegg så er det noen requirements for de konkrete serverene det skal inn på:
Device Management Server:
- Domain member
- IIS 6.0 & WWW Publishing Service
- .NET 2.0
- MMC 3.0
- WSUS 3.0 SP1 (Krever Report Viewew 2005 SP1)
Enrollment Server:
- Domain member
- IIS 6.0 & WWW Publishing Service
- .NET 2.0
Gateway Server:
- IIS 6.0
- .NET 2.0

Hardware kreves også selvfølgelig, men så lenge du har en boks som kan kjøre 64-bits Windows Server 2003 tror jeg det mer er et spørsmål om anbefaling i forhold til skalering. Jeg kjører på Hyper-V med en Xeon 3040 som CPU-grunnlag og 1.5 GB RAM allokert. For DM-rollen er det ikke angitt noen krav, men for Enrollment og Gateway står det 4 GB RAM og 100 GB HDD, men det går altså an å installere på mindre uten warnings/feilmeldinger.

Som nevnt kan DM og Enrollment være på samme boks uten konflikter forutsatt at det allokeres forskjellige porter for kommunikasjon. Enrollment må kjøre på port 443.

I min naive barnetro så forsøkte jeg å legge det inn på Windows Server 2008, men neida - står det 2003 så mener de tydeligvis det. Regner dog med at det kommer på plass etterhvert. Jeg gjorde ikke noe forsøk på å "hacke" meg rundt det, men det kan jo hende det er mulig også for den saks skyld.

Etter at du har satt opp en CA, to servere og lagt inn prerequisites er det en anbefalt rekkefølge deretter:
- Klargjøre AD. Det er ingen schema endringer, men må lages Certificate Templates, OUer, Group Policies, etc.
- Installere Device Management Server.
- Installere Enrollment Server.
- Installere Gateway Server.
- "Koble sammen" Device Management Server med Gateway Server.
- Legge inn Administrator Tools.

Sistnevnte er litt "festlig"; Admin Tools krever/baserer seg på GPMC (Group Policy Management Console) for å sette policies. Men GPMC finnes ikke i 64-bits versjon så policies må settes fra en 32-bits boks. Og det er jo litt selvmotsigende når serveren krever 64-bits. Jeg er klar over at mange uansett ville hatt Admin Tools på en annen maskin enn selve serveren løsningen kjører på, men når jeg labber liker jeg å legge inn sånt på selve serveren.
Merk at Admin Tools også består av et MMC-konsoll og det kan fint legges inn på 64-bits.

Så nå har jeg et fungerende miljø med System Center Mobile Device Manager 2008 installert. Det vil si - jeg har ikke publisert og åpnet opp i ISA Server. Men dette henger igjen sammen med at jeg ikke har noen devicer med Windows Mobile 6.1 så jeg har ikke maskinvare med nødvendig klient. Det hindrer meg selvfølgelig ikke i å gjøre meg mer kjent med serverside og se gjennom settings og det hele, men én ting om gangen :) Ikke umulig at jeg vender tilbake til produktet i en senere post, og kanskje inkluderer noen screenshots også hvis det er en god dag.

Autodiscover + Windows Mobile = No go

Andreas — Tue, 04 Mar 2008 00:33:00 GMT

I Windows Mobile 6 dukket det opp en ny og tilsynelatende hendig opsjon på enhetene for å sette opp e-post på en enklere måte. Når du skal legge til en ny e-postkonto får du beskjed om å skrive inn mailadressen og automatisk hake for "Prøv å hente innstillingen for e-post fra Internett". Har du forsøkt å sette opp denne mot Exchange? Ikke bruk mer tid på det :)

Det finnes to teknikker for automatisk oppsett - den ene er "Autodiscover" og den andre er "Guessmart". Førstnevnte er for å finne Exchange/Outlook-innstilinger og støttes i Exchange 2007 og Outlook 2007. Den andre er for å finne innstillinger for POP/IMAP. (Går ikke nærmere inn på detaljene for hvordan dette fungerer her og nå.) Windows Mobile 6 støtter kun sistnevnte, og kan derfor brukes til å sette opp eksempelvis @online.no, men kan ikke benyttes mot Exchange.

Dette er en upraktisk begrensning. Det er forsåvidt ikke det at det nødvendigvis er så vanskelig å gjøre det manuelt, men du blir litt irritert når det bare ikke virker og du ikke har noen god forklaring på hvorfor. Og så tenker du plutselig på om det er du som har feilkonfigurert noe :)

Forhåpentligvis er dette fikset i Windows Mobile 6.1, (og det skal jeg selvfølgelig teste), men inntil det så er det bare å la det ligge.

Exchange 2007 (-Edge & UM) meets Windows Server 2008

Andreas — Mon, 03 Mar 2008 23:14:00 GMT

Takket være litt treghet og en ukes vinterferie tok det litt tid før jeg klarte å ta aksjon og portere den andre Exchangen til Windows Server 2008. På denne boksen kjører jeg "hovedrollene" til Exchange 2007 - det vil si Client Access, Hub Transport og Mailbox.

Også her er det noen requirements som bør fikses før du trykker install:

- ASP.NET 2.0 er allerede installert, og det samme med MMC 3.0.
- Neste ting å legge inn er Powershell. Dette gjøres enten ved å legge det til som en feature via "Server Manager", eller kjøre følgende på kommandolinjen: "ServerManagerCmd -i PowerShell".

Legg til rollen "Web Server" i Server Manager. Siden IIS 7 er mer finkornet i Windows Server 2008 enn IIS 6 i Windows Server 2003 må du også spesifisere hvilke moduler du behøver; såkalte "Role Services" i denne sammenheng. Du behøver følgende for å kjøre de nevnte Exchange-roller (sette hake under hovedpunktene):

IIS 6 Management Compatibility

Security:
Basic Authentication
Windows Authentication
Digest Authentication

Performance:
Dynamic Content Compression

Når dette var på plass tok det ca 20 min for setup å gjøre det den skulle.

Anbefaler å legge inn den nylig slupne Rollup 1 for Exchange 2007 SP1 når du først er i gang. (Dette forutsetter at du kjører SP1. Kjører du RTM skal du legge inn Rollup 6.)

Så avsluttes det hele med en aldri så liten reboot av Windows.

Etter å ha revet seg i håret for å til slutt finne ut at det er en fordel å skrive riktige IP-adresser i DNS fikk jeg også kjørt opp synkronisering mot Edge-serveren. Den "gamle" 32-bits 2003 Edge-serveren fjernet jeg bare subscription for så er den ute av spillet. Da skal jeg bare få flyttet mailboksene over fra den andre 2003-serveren og så kjøre en uninstall av Exchange 2007 på den så regner jeg miljøet som overflyttet. New and shining Windows Server 2008 x64 + Exchange 2007 SP1 x64 Enterprise Edition :)

70-236 - Pass!

Andreas — Thu, 21 Feb 2008 13:00:00 GMT

Etter å ha knotet med Exchange 2007, og også kommet så langt som at det er sluppet service pack til produktet klarte jeg å ramle innom et testsenter for å ta eksamen. (Ok, skal innrømme at jeg leste før jeg "ramlet innom".) Den har vært tilgjengelig et års tid så kvalifiserer ikke til såkalt Charter Membership (de fem eller seks første månedene etter release dato hvis jeg husker rett). Men jeg har hatt mye annet å fylle tiden med, inkludert andre sertifiseringer fra MS.

Det var ikke den letteste eksamen jeg har tatt, men jeg klarte heldigvis å stå på første forsøk likevel. Så nå kan jeg smykke meg med tittelen MCTS: Microsoft Exchange Server 2007, Configuration.

Hva kan sies om innholdet? Innlysende nok kan jeg ikke ramse opp spm her, men noen ting kan jo nevnes:
- Gjenta etter meg "jeg elsker PowerShell". Hvis du ikke gjør det har du et problem :) Det var rett og slett mange spm som krever at du husker utenat de fleste cmdletene. Dagens tips i den anledningen - http://207.46.19.190/downloads/details.aspx?FamilyID=01a441b9-4099-4c0f-b8e0-0831d4a2ca86&displaylang=en for en referanse over alle Exchange-relaterte Powershell-kommandoer.
- Lær deg hvordan besvare spørsmål som inneholder ordene "xxx fails". Du må vite hvordan gjenopprette servere som tar kvelden, hvordan kjøre opp backuper fordi noe feilet, hvordan clustering fungerer.
- Mye går på ren pugging her. "Hva må være installert på server før du installerer Exchange 2007", "Hvilken kommando bruker du for å sette følgende rettighet", etc. Det er ingen "hvorfor"-spm og veldig lite som berører design av Exchange-infrastruktur.
- Dette betyr at den er mer beregnet på at man skal vite hvordan man drifter Exchange 2007, benytter det, og får det til å snurre rundt i hverdagen enn å finne ut hvor man skal plassere Exchange-servere hvis man har 5 lokasjoner med forskjellige behov.

Så da får vi se om jeg tar fatt i 70-237 og 70-238 etterhvert som en fortsettelse :)

Exchange 2007 Edge meets Windows Server 2008

Andreas — Wed, 20 Feb 2008 17:26:00 GMT

Et stk clean (virtuell) install av Windows Server 2008 "lå og ventet" på at jeg skulle legge inn noe på den. Siden min nåværende Exchange 2007 installasjon har vært x86/32-bits var det på tide å gå over til "ekte" med x64/64-bits. Og hva er da mer naturlig enn å i samme slengen overføre det til Windows Server 2008.

Jeg startet med Edge-serveren, og her er stegene/erfaringene rundt det:

- Konfigurer ting som statisk IP, DNS, etc. Sett også et DNS-suffix på serveren. (Siden Edge-serveren ikke meldes inn i domene må det settes manuelt.) NB - det holder ikke å sette det på nettverkskortet, det må settes på "Properties" for "My Computer". For Windows Server 2008: "My Computer"->"Properties"->"Advanced System Settings"->"Computer Name". Klikk på "Change"->"More" og skriv inn i "Primary DNS suffix of this computer". Deretter må du restarte serveren.
- Du vil få feilmelding hvis du setter et såkalt single-label domenenavn. Det vil si at hvis du i forrige steg satte bare "Contoso" er ikke det nok - du må ha "Contoso.com" eller tilsvarende.
- ASP.NET 2.0 er allerede installert, og det samme med MMC.
- Neste ting å legge inn er Powershell. Dette gjøres enten ved å legge det til som en feature via "Server Manager", eller kjøre følgende på kommandolinjen: "ServerManagerCmd -i PowerShell".
- Du må ha installert Active Directory Application Mode (ADAM) for å få synkronisert ut info fra domenet. Dette gjøres ved å gå på Start->Run og skrive inn "cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM"

Disse enkle stegene ga i hvert fall meg grønt lys for å trykke "Install" :)

Selve installasjonen av Edge-rollen tok deretter cirka 10 minutter å installere. (Dette er bare for å få det inn så klart, og inkluderer ikke konfigurasjon/oppsett mot "hovedserver". Mer om sistnevnte i et senere kapittel.)

Så anbefales en Windows/Microsoft Update; i mitt tilfelle var det en anti-spam update tilgjengelig. Reboot server. Så kan du vurdere om du vil legge inn Forefront, kjøre Security Configuration Wizard, etc.

System Center Mobile Device Manager 2008 - RTM

Andreas — Tue, 19 Feb 2008 15:15:00 GMT

Da ser det ut til at SCMDM2008 har gått RTM i går (18.02.2008). Har ikke klart å få fingrene mine rundt en download ennå, men det bør være rett rundt hjørnet med litt flaks. (Microsoft har prioritert å dytte ut forskjellige varianter av Windows Server 2008 de siste to ukene.)

Windows Server 2008 RTM

Andreas — Mon, 04 Feb 2008 19:57:00 GMT

Da var Windows Server 2008 endelig i RTM!

I ettermiddag (04.02.2008) hadde den plutselig dukket opp på Technet (& MSDN), og da var download-fingeren hurtig i aksjon. Som flaks var så plukket jeg opp to billige servere på Dells julesalg; den ene har kjørt RC1 av 2008 siden slutten av desember, og den andre sto egentlig bare og ventet på RTM :)

Så er det vel egentlig ikke så mye nytt å rapportere i forhold til det som har blitt publisert over den vide verdensveven allerede, men det føles jo likevel bra å ha noe som er i final versjon likevel. Ja, jeg jeg vet den vanlige tiraden med at det er Windows og trenger noen service packs på å bli bra. Men Windows Server har faktisk utviklet seg til å bli et ganske så stabilt OS. Ja, det er bugs i dette OSet som alle andre troligvis, og dette vil kreve hotfixer, etc, men det betyr ikke at ikke basisen er fungerende.

Siden maskinvaren sto parat så var det bare å fyre den opp og sette inn DVDen. Som Vista så er alle versjoner av OSet inkludert på samme plate, og lisensnøkkel avgjør hva du får. Men også her kan du kjøre i trial-mode og behøver ikke legge inn nøkkel med en gang. Siden jeg følte Datacenter kanskje var litt mer enn det jeg behøvde her og nå valgte jeg å begrense meg til Enterprise.

Det jeg var en smule spent på var Hyper-V. Jeg fikk først testet den i RC1 siden den krever 64-bit i bånn, og jeg fant da ut at å velge "Norwegian" på første skjermen etter boot på dvd var et dumt valg. Burde jo skjønt at det var US-only feature :) MS har jo ikke vært veldig spesifikke når det gjelder når og hvordan Hyper-V blir tilgjengelig, og jeg tok meg ikke bryet med å lete opp noen release notes her før jeg trykket play. RTM som jeg lastet ned har støtte for Hyper-V sånn lisensmessig, og så skal det komme en Windows Server 2008 litt senere uten Hyper-V, men hvor man visstnok kan kjøpe det i tillegg for en symbolsk sum. Hyper-V var inkludert her, men sto fremdeles som Prerelease - ikke at jeg trodde noe annet vel å merke :) Det viste seg fort at det var visst samme bug her med at norsk var et fy-språk.

For de uinvidde manifesterer denne "språkbugen" seg med følgende symptomer:
Du har installert Hyper-V, men Virtual Machine Manager kjører ikke. Forsøker du å starte den i Server Manager får du "service changed to an unexpected state". Hvis du forsøker å trikse under Services får du kanskje Error 87. (Veldig forståelige meldinger så klart.) Men heldigvis lar det seg løse uten en reinstallasjon.
Start->Control Panel->Regional and Language Options
Endre Formats/Current Format til English (United States)
Endre Administrative/Change system Locale til English (United States)
Det er ikke nødvendig å endre Location.
Reboot server.
Tilbake til Administrative-fliken og "Copy to reserved accounts". Hak av for begge alternativene.
Reboot server.
Så bør Virtual Machine Manager starte av seg selv :)

Jeg har ikke kjørt noen hard core testing av Hyper-V, og vet at mange sverger til VMWare. Jeg konstaterer bare at jeg liker det som ny feature, har tenkt å benytte den/teste den og så får vi se om vi er fornøyde.

Urelatert til features og slikt er det festlig nok en liten glitch som henger igjen også i RTM; nemlig at versjonen er Service Pack 1. Har lest noe om at det har noe å gjøre med at det er samme code base i Windows Server 2008 og Vista SP1, men jeg skal ikke si definitivt om det er tilfelle.

Vista SP1 skal da også være i RTM, men denne har ikke dukket opp for nedlasting ennå. Vet ikke om det er fordi det fryktes sprengt kapasitet ettersom 2008 trolig trenger en byte eller to tilgjengelig den også, eller om releasen er såpass begrenset at den ikke dukker opp på Technet/MSDN nevneverdig mye før release til de store massene.

System Center Mobile Device Manager 2008 - Preview light

Andreas — Thu, 31 Jan 2008 09:14:00 GMT

Microsoft har i flere år hatt sitt SMS-produkt (Systems Management Server), som etter versjon 2003 byttet navn til System Center Configuration Manager 2007 (SCCM2007). Dette for å passe inn i System Center porteføljen som også inkluderer tidligere MOM, DPM, med mer. Støtten for mobile enheter som Pocket PC og Smartphone i SMS2003 var noe blodfattig, og lite anvendelig. SCCM2007 ga noe mer funksjonalitet, men er primært et verktøy beregnet for PC/Server.

I fjor høst annonserte Microsoft sitt nye verktøy for styring av Windows Mobile - System Center Mobile Device Manager 2008. (De har fått en fetisj for lange tungvinte navn tror jeg.) Ved annonseringen var det lite konkret annet enn at dette skulle bli gromme saker. Produktet er ikke sluppet ennå, og har heller ikke vært i noen offentlig beta-periode. (Utvalgte partnere har dog fått titte på det.) Det er rykter om RTM i februar, og i forkant av dette har det kommet litt mer informasjon for offentligheten.

Jeg har heller ingen RTM-versjon i hendene ennå, men har kunnet gjøre opp noen forhåndsmeninger uten "hands on"-erfaring. Det er viktig å merke seg at selv om det blir tilgjengelig om noen uker betyr det ikke nødvendigvis at det er fritt fram for å teste det umiddelbart. Det vil si - du kan jo alltids installere en server med programvaren, men uten en Windows Mobile som også støtter det vil du jo ikke få hele opplevelsen. Mye tyder på at det er Windows Mobile 6.1 som kreves (akkurat som SP1 til Exchange 2007), men jeg har ikke kunnet bekrefte dette definitivt eller om det krever noen tilleggskomponenter utover dette. Dessverre er det en mulighet for at enheter ligger litt lenger fram i tid. Brosjyren forteller at eksisterende enheter med Windows Mobile 6 muligens kan få det fra Windows Update, men da det er veldig avhengig av mobilprodusentene, (HTC, HP, Samsung, etc), er det ikke gitt at alle enheter får det.

Så hva er det store med dette produktet - mye er vel allerede dekket av Exchange og/eller tredjeparts mellomvareløsninger?
Det er riktig at det finnes endel funksjonalitet i andre løsninger, og Exchange har også endel muligheter (2003 har veldig enkle policies, mens 2007 utvider dette ganske så bra.) Det mest vesentlige som jeg ser det er at mobiltelefonene kan nå bli en del av domenet. Du joiner de inn i domenet, de havner/blir plassert i en OU, du kan bruke group policies til å styre de og distribuere applikasjoner. Kort sagt - fra administrators ståsted blir enhetene mer som pcer.

Det er selvfølgelig ikke bare domenemedlemskap produktet blir solgt inn som problemløser for. SCMDM2008 har 3 "hovedområder":
Security Management:
Dette er styring av policies rundt sikkerhet på enheten. Det kan være å tvinge på at det skal være et power-on-password og kompleksiteten av det, autoslett av enhet ved x antall feilede passord, disabling av kamera/sms/wlan og så videre. Standarden OMA DM (versjon 1.3) ligger til grunn for dette så det betyr at du skal kunne kontrollere Nokia-enheter også, (og andre produsenter/OS som slutter seg til standarden), men gjenstår å se hvordan dette blir i praksis.

Device Management:
Med Device Management menes muligheten for å hente inventory og distribuere applikasjoner. Distribusjon er basert på WSUS 3.0. De glossy arkene i materiale fra Microsoft sier at det er full støtte for OTA provisioning, og at bruker bare skal behøve å oppgi epost-adresse for "plug and play". Som autodiscover i Exchange 2007 har det kanskje noen bestemte forutsetninger for suksess, men det høres jo bra ut hvis dette viser seg å fungere knirkefritt.

Mobile VPN:
Dette er som navnet indikerer en VPN-klient for Windows Mobile. Det vil si at all trafikk fra enheten går via Gateway, og at bedriftens firewall kan filtrere porter, ip'er, og så videre. I motsetning til den innebygde VPN-funksjonaliteten som allerede finnes skal denne enklere håndtere mobile forhold som at man bytter ip-adresse, faller ut av nett, bytter mellom 3G/GPRS og WLAN, etc. (Her kommer maskinsertifikat inn for å slippe at du skriver inn passord hver gang noe slikt skjer.)

Legg merke til at de to første regnes vanligvis begge som Device Management i terminologien, men her deler altså Microsoft opp dette i separate områder. (Dette betyr jo ikke nødvendigvis at det er et forvirrende skille i brukergrensesnittet, og håper på at det fungerer sømløst der.)

Hva krever det av maskinvare og programvare?
Helt konkret sier prereqs følgende:
Server: 2xIntel/AMD CPU (1500MHz +) (Regner med at Dual/Quad-Core også burde være ok.)
Memory: 1 GB RAM
Storage: 100 GB free disk space
Network: 1 NIC for Device Management & Enrollment Server, 2 NIC for Gateway Server
OS: Windows Server 2003 SP2 64-bit
SW:
Device Management - IIS, WWW Publishing Service, .NET 2.0, Powershell 1.0, WSUS 3.0 SP1
Enrollment - IIS, WWW Publishing Service, .NET 2.0
Gateway - IIS, WWW Publishing Service

Som alle andre Microsoft-løsninger kan du velge hvor heftig du ønsker å skalere det. Minimumskravet er dog 2 fysiske bokser. Dette er jo ikke noen spesielle spesifikasjoner i forhold til hvis du går og kjøper en ny boks her og nå som stort vil møte kravene, men skal du gjenbruke noe eksisterende er det bare å sjekke at det er en komfortabel mengde RAM i (mer enn minimum er alltids greit). Det som er verd å merke seg er at det er 64-bits only på OS-siden. (Her fortsetter trenden Exchange 2007 påbegynte.) Det anbefales 3-4 servere, men her må man jo vurdere litt ut fra hvor mange enheter man ser for seg å administrere, hvor mye interaksjon det skal være mot enhetene, og så videre.
I minimumskonfigurasjon blir det én server som plasseres i DMZ og er gatewayen mot nett som alle enhetene kommuniserer gjennom, og én server som plasseres i domenet for å håndtere kommunikasjon mot domenekontroller og PKI.

PKI? Det er sånn sertifikatopplegg det er det ikke?
Det er riktig. Det blir utstedt et maskinsertifikat til enheten for å autentisere denne. Dette er uavhengig av brukernavn/passord som er knyttet til en bruker, men skaper knytningen til selve enheten. Dette er unektelig et punkt som kan bli en utfordring for noen. Det er ikke det at det er vanskelig i seg selv å installere Certificate Services i Windows Server 2003, men det utløser en planleggingsjobb hvis man vil gjøre det ordentlig.

Hva slags serverroller er det siden det refereres til 3-4 servere, og prereqs sier noe forskjellig under sw-krav?
Følgende 3 roller er en del av topologien:
Device Management - dette er "hovedserveren" i den forstand at det er her policies/innstillinger/distribusjon og inventory håndteres.
Enrollment - denne serveren er ansvarlig for å utstede sertifikater til enhetene, (etter å ha verifisert at enhet kvalifiserer), og håndterer dette gjennom interaksjon med Active Directory og PKI. Denne rollen kan installeres på samme server som håndterer Device Management rollen.
Begge de to ovenstående plasseres i domenet.
Gateway - denne serveren har som ansvar å fungere som en proxy/mellomledd slik at ingen kommunikasjon går direkte ufiltrert til/fra enhetene. Denne har dermed en naturlig plassering i DMZ.

I tillegg må det en SQL 2005 server med i bildet for datalagring. Det kan enten være i form av en "Express"-utgave som legges inn på DM/Enrollment server, eller en frittstående/eksisterende SQL-server.

Er det en oversikt over alle innstillinger som kan settes? Gir dette noe mer enn Exchange 2007 med eller uten Service Pack 1?
Det korte svaret er ja :)
Det litt lengre svaret er ja, det finnes en oversikt i en grei matrise som sammenligner med Exchange 2003 og 2007. Det gir mer funksjonalitet enn de andre alternativene, men det er ikke gitt med det at man utelukker Exchange og gjør alt herfra som jeg ser det. Det kan være en kombinasjon at Exchange for eksempel håndterer ActiveSync-relaterte innstillinger, mens SCMDM håndterer distribusjon av applikasjoner. Jeg har ikke inkludert matrisen her da det er mer naturlig å komme inn på den i en mer detaljert gjennomgang når produktet er i release. For de interesserte er det en link lenger ned.

Dette er mer en preview enn en review av produktet så jeg har ingen direkte konklusjon på om dette er like bra som ristet brød. Det er unektelig mye nytt fra Microsoft funksjonalitetsmessig, samtidig som det er sterke etablerte produkter i markedet. Andre produsenter sitter heller ikke på gjerdet, og driver også produktutvikling så det er vanskelig å si. Den direkte knytningen mot AD på enhetsnivå har jeg ikke sett så langt, men mye bra kan leveres også uten den knytningen. (Som brukerdatabase og til autentisering benyttes jo ofte AD uavhengig av dette.) For meg vil det være naturlig å teste dette så snart jeg kan legge mine hender rundt det, og jeg håper på å kunne komme tilbake med mer konkret da.

For mer info:
http://download.microsoft.com/download/9/a/4/9a401fa2-4044-4550-af33-8821f826a708/MSCMDM_Product_Reference_Guide.pdf

Gjerrigknarkens guide til SSL på Windows Mobile

Andreas — Fri, 25 Jan 2008 12:55:00 GMT

Ok, det kan vel diskuteres om det er riktig å si SSL på Windows Mobile i tittelen, SSL til Exchange, eller SSL generelt. Men erfaringsmessig er det mye usikkerhet hvordan SSL fungerer i forhold til Windows Mobile så det føltes riktig å vinkle det slik likevel. SSL sin hensikt og funksjonalitet er selvfølgelig det samme som på pc, men implementeringen kan skape hodebry.

Exchange 2007 sin "secure by default"-tankegang har vist seg ved at det meste som har http involvert krever en s på slutten - altså SSL. Det er fint mulig å skru av, eventuelt skru på ukryptert http i tillegg, men det er jo ikke akkurat den anbefalte veien å gå. Det er en grunn til at MS som standard setter SSL til det du skal bruke, og du bør benytte det. På pc er dette uproblematisk i forhold til Outlook Web Access. Installasjonsprosessen til Exchange genererer et sertifikat, selvsignert sådan, med bakgrunn i NetBIOS-navnet. Så i browseren får du opp advarselen om du vil stole på, bla bla, og evnt kan du legge det inn som et sertifikat du stoler på. Problem solved. Eller?

Ja, det er jo flott. Med noen unntak... (At det er en barriere med Vista og IE7 er så, men det er overkommelig.) Forsøkt å få OutlookAnywhere til å fungere med selvsignert? Short answer: glem det. Forsøkt selvsignert på din Windows Mobile? Fikk du det til? Var det en forskjell på Pocket PC og Smartphone? Og hvordan i all verden skal du instruere brukere til å få til denne prosessen?

Det finnes oppskrifter og løsninger for hvordan få inn selvsignert til bruk i ActiveSync. Men hvorfor alt stresset med det? Vel, v er vant til at sertifikater er noe dyre saker. Verisign som er blant de mest anerkjente tar 450 Euro for det billigste så vidt jeg kan se. Ja, ordet billig hørtes jo ut som det var på sin plass... Og det virker jo ikke så komplisert å utstede et sertifikat. Det er selvfølgelig vel og greit med alt det som garanteres i forhold til dette sertifikatet fra Verisign sin side (og du kan jo bruke "Verified by Verisign"-logo på websider), men det er jo bare en stakkars ActiveSync-forbindelse du skal beskytte. Finnes det ikke noe billigere?

Selvsignert høres umiddelbart "gratis" ut i den forstand at det ikke koster deg noe å generere et slikt et. Ja, vi er enige om at det tar noen minutter å utføre, og selv om vi setter en timepris på arbeidet vi gjør kommer vi billigere ut av det enn med Verisign. Men så må du pakketere sertifikatet (cab/cpf). Distribuere det på et eller annet vis til de som skal ha det på enhetene sine. Så er det mange veier til mål i så måte, men alle disse har en kostnad knyttet til seg. Selv om brukerne ikke trenger hjelp, og gjør det riktig, så tar det tid også for de.

Jeg vet det høres ut som reklamemodus jeg går over i nå, men det er som fornøyd kunde jeg gir dette tipset, ikke som selger :) Et GoDaddy-sertifikat koster ca 20$ - med andre ord rundt 100NOK (give or take noen kroner avhengig av kursen). Det er nesten billigere å kjøpe et og bare teste enn å lete på google etter andre måter. Men det må da være en catch med dette?

Det kommer an på. GoDaddy er bare støttet fra AKU2 av Windows Mobile 5, som også betyr at WM6 er ok, men altså ikke de første Windows Mobile 5 som kom, eller tidligere versjoner. Mange av de første WM5-enhetene har uansett fått AKU2-oppgradering tilgjengeliggjort så da er de ok også. Så hvis du ikke har mange gamle enheter med i leken så er ikke det noen issue. Vet ikke om det er offisielt støttet fra Nokia sin side ennå, men fra E65 og framover så ser det ut til å fungere knirkefritt der også.
Og hvis du først er i farta - så koster et såkalt wildcard-sertifikat ca 200$. Det vil si at i stedet for å bare beskytte mail.contoso.com blir det *.contoso.com. Dette krever riktignok Windows Mobile 6 på din enhet. Wildcard kan skape litt mer konfig på ISA-server og Exchange, men det er en annen diskusjon.
Comodo og Entrust har også noen pakketilbud i forhold til Exchange 2007 (http://support.microsoft.com/kb/929395) så det kan jo også eventuelt være noe å prøve ut.

Ser også nå at GoDaddy nylig, (etter at jeg påbegynte skrivingen av dette), har lansert Multiple Domains Certificate som er tilsvarende Comodo og Entrust sitt Unified Communications Certificate. Inntil 5 domener ligger det på 60$ så det høres ikke umiddelbart ut som en dum deal. Litt lett matematikk forteller oss at du må opp i 4 "enkle" sertifikat (20$) før dette lønner seg. Så du tenker kanskje at hvis du bare skal ha http://www.contoso.com/ og mail.contoso.com at det er vel så greit å ta 2 slike. Men det er andre fordeler med å ha et sertifikat som dekker flere ting. Vanligvis kan du bare knytte 1 sertifikat til 1 ip-adresse. (Dette har jeg foreløpig ikke klart å komme rundt med Wildcard heller, men vet ikke om det er en feilkonfigurasjon jeg gjør eller noe annet.) Har du 1 sertifikat med flere navn er jo da ikke dette en plagsom begrensning.

Ok, spol litt tilbake... Single-name, wildcard, SAN - hva er alt dette for noe?
Sertifikater finnes i forskjellige varianter, og forskjellige alternativ kan være mest riktig for deg (og din lommebok). Nå simplifiserer vi litt i denne sammenhengen og skiller ikke mellom sertifikat for klient-autentisering, kodesignering, og så videre. Vi hopper over det, da det er sertifikater for SSL som er relevant i denne sammenheng.

Det enkleste er single-name. Det vil si at sertifikatet er utstedt til http://www.contoso.com/, og ikke mail.contoso.com, eller http://www.contoso.net/, etc.
Så har du SAN, eller Subject Alternate Names, som betyr at det kan være utstedt til http://www.contoso.com/, mail.contoso.com, med fler i samme sertifikat. Noen utstedere har også multi-TLD - altså http://www.contoso.com/, http://www.contoso.net/, etc. (TLD = TopLevelDomain = .com, .no, etc.) Evnt kan det være en kombinasjon og at de kan ha http://www.contoso.com/ og mail.contoso.net. Her varierer det fra utsteder til utsteder så sjekk før du kjøper :)
Den siste hovedvarianten er wildcard - altså at det er utstedt til *.contoso.com. Så om du setter opp http://www.contoso.com/, www1.contoso.com, www2.contoso.com og så videre er det helt greit. Men ikke av varianten *.contoso.*. Sånn umiddelbart virker jo dette som en one-size fits all løsning, men ulempen er altså at ikke alle enheter støtter det, avhengig av om du bruker ISA, hvordan den er konfigurert, etc kan det også kreve flere IP-adresser, eller litt knot for å konfigurere hostname.

Hvilken av disse du bør gå for varierer selvfølgelig etter hvilke behov du har, men skal du ha Exchange 2007 holder det ikke med et single-name. (Avhengig av hvor mye funksjonalitet du skal ha, men autodiscover.contoso.com, mail.contoso.com og http://www.contoso.com/ er å anbefale som adresser inn i det sertifikatet.)

Jeg har ikke fått testet et Unified Communications sertifikat ennå, verken fra GoDaddy eller andre. Men jeg har et SSL-sertifikat (single-name) som må fornyes ganske snarlig så kanskje jeg skal gå for et slikt et i stedet. Microsoft burde kanskje ha dokumentert litt bedre hvordan alt dette henger sammen - eller i hvert fall i litt mer tilgjengelig form enn noen heavy white papers :) Men essensen i det jeg har klart å lese fra MS er at SAN-sertifikat er det anbefalte. Hvis jeg tester ut et slikt skal jeg se om jeg får dokumentert noen erfaringer.

Noen bedrifter med veldig høye og bestemte krav til sikkerhet kan ha en policy om at selvsignerte regnes som sikrere enn tredjeparts, men da er det mulig den policyen gjelder enten sertifikatet kommer fra GoDaddy eller Verisign. (Forskjellige utstedere har forskjellige garantier for hvordan de sikrer at ikke uatoriserte får utstedt sertifikat.) Samt at du da trolig har en skikkelig PKI-infrastruktur og ikke bare det Exchange sin Setup Wizard genererer.

Og hvordan blir så dette når vi skal over på sertifikatbasert autentisering mot Exchange/ActiveSync? Ouch, du sier noe der. Det har ikke gått meg hus forbi, men har tenkt å se nærmere på det senere. Utfordringen der er at det har ikke vært en enkel måte sett fra et sluttbrukerperspektiv å gjøre slikt ennå fra MS sin side.

Så hva venter du på egentlig - hvorfor sitte og knote når det kan gjøres så mye enklere? :-)

For mer info:
White Paper: Exchange 2007 Autodiscover Service - http://technet.microsoft.com/en-us/library/bb332063.aspx
How to Generate and Install a Certificate, with Subject Alternative Name entries, for an Exchange 2007 Client Access Server(CAS) server - http://exchangeninjas.com/cascert
Exchange 2007 Autodiscover and certificates - http://msexchangeteam.com/archive/2007/04/30/438249.aspx
New-ExchangeCertificate Command Generator - https://www.digicert.com/easy-csr/exchange2007.htm (veldig praktisk)

Hvis du vil lære mer enn sunt er om sertifikater bør du sjekke ut Brian Komar sin bok: Microsoft Windows Server 2003 PKI and Certificate Security
Noen av oppskriftene er Microsoft-sentriske (hvordan sette opp Certificate Services i Windows Server 2003, Enterprise PKI, etc), men jeg tror du vil ha vel så mye utnytte av den om du skal sette opp OpenSSL under Linux siden det er mye om sertifikater generelt.
Hvis du ikke har hastverk, eller vil ha de siste oppdateringene i forhold til Windows Server 2008 kommer hr. Komar med en ny bok som har ETA i april 2008:
Windows Server 2008 PKI and Certificate Security

Prolog - Velkommen til AndyTales.net

Andreas — Thu, 24 Jan 2008 09:00:00 GMT

Da var det bare å ønske velkommen til AndyTales.net og de som har klart å google seg inn ved en tilfeldighet!

Som en åpningspost kan det være på sin plass å fortelle kort om hva som er målet med denne bloggen. (Ser vekk i fra at at det trolig ikke er så mange lesere andre enn forfatteren selv i øyeblikket.)

Jeg har lenge vært "geek" som det heter, og tenkte dermed å dele tanker/oppskrifter/etc jeg mener å ha noe nyttig å bidra til fellesskapet med. Jeg jobber som "Systems Architect" med fokus på mobile mellomvareløsninger og integrasjon av disse mot infrastruktur, og noen erfaringer vil muligens være derfra. Andre erfaringer vil være fra leking i laben hjemme.

Som overskriften sier ser jeg for meg endel rundt Windows Mobile, Microsoft Exchange (mest i forhold til den mobile delen) og noe generelt om Windows Server. (Sistnevnte kan også inkludere andre applikasjoner enn bare selve OSet "Windows Server 200X".) Jeg har en programmerer i min sjel også, så kanskje det blir noe der innimellom også alt ettersom :)

Min bakgrunn rent faglig inkluderer dataingeniør (fokus: programvareutvikling), i tillegg til en liten bokstavsuppe av Microsoft-sertifiseringer:
MCP
MCP+I
MCSE Windows NT 4.0
MCSA Windows Server 2003
MCSE Windows Server 2003
MCTS Windows Mobile 5: Configuration

Så er det klart at dette i seg selv borger ikke for mine kvalifikasjoner, men det gir om ikke annet en viss indikasjon på hvor interessen ligger :)

Kanskje er det vel så enkelt å introdusere litt mer gjennom en liten FAQ:

Hva er tanken bak det håpløse navnet? Andytales.net, og "Andreas' tekniske fortellinger"?
Joda, satt lenge og grublet på et domenenavn. Når jeg har landet på dette så var det fra et utgangspunkt at det primært ville være teknisk materiale som ble publisert. Jeg er en av de som er mer enn middels interessert i teknisk litteratur, og det som ofte slår meg er hvor kjedelig mye av den teknisk litteraturen er, og hvor humorløs den er. Jeg liker også at hvis jeg eksempelvis slår opp en feilkode i KBen til Microsoft så kan den være konsis og med lite utbroderinger. Men hvis jeg skal lese mer omfattende artikler så skader det ikke om det er litt underholdende. Så jeg liker det hvis tekniske bøker glir litt over i fortellinger innimellom. (Må ikke forveksles med eventyr.) Navnet var mer ego - Andreas eller Andy for å få litt internasjonal schwung over det.

Hva med denne blandingen av språk? Er det norsk eller engelsk som gjelder?
Både og. Jeg ser primært for meg å benytte norsk. Både fordi jeg har Norge som "base" og eksempelvis benytter meg av norske enheter når det gjelder Windows Mobile samt at det trengs flere norskspråklige sider for tekniske artikler. (For all del - det finnes bra sider på norsk allerede, og forsøker ikke å trumfe disse, men det er mindre materiale tilgjengelig jo mer nisje det blir.) Samtidig så holder jeg muligheten åpen for å publisere materiale på engelsk også.

Er det noen umiddelbare planer for artikler/blogger?
Her har jeg selvfølgelig utfordringen mange andre har også. Det må være noe å publisere for at det skal være et poeng å ha en offentlig tilstedeværelse. Samtidig som det er unødvendig å skrive bare for å skrive (og bare trykke ut kjedelig tekst). Jeg skriver for min egen del, men er jo kjekt om noen andre får noe ut av det også.
Jeg ser for meg å prøve å grave litt i Exchange 2007 Service Pack 1 med nyeste Windows Mobile. (Sistnevnte bør være rett rundt hjørnet i versjonsdrakt 6.1 eller noe slikt.) Har også lekt med tanken om en "skikkelig hjemmenettverk"-serie med å sette opp "ordentlig" infrastruktur hjemme, men er ikke helt sikker på denne. (For eksempel er det lett å legge lista for høyt for enkle brukere, og for lavt for avanserte brukere sånn at det ikke egentlig treffer noen.) Kanskje noe rundt PIM (Personal Information Management) og DM (Device Management), men må finne riktig vinkling på det også først.
Blir også en utprøving av balansering mellom innhold rettet mot henholdsvis Technet og MSDN. (Basert på Microsoft sin klassifisering av MSDN = Utvikling, Technet = Windows Server, Exchange, etc.) Eksempelvis er det en del på Windows Mobile som lett havner i grenseland mellom de to segmentene.

Er jeg åpen for forslag til artikler?
Ja, i utgangspunktet er jeg det. Jeg sier ikke med det at det bare er å sende bestillinger, men ser vel mer for meg at konstruktive forespørsler kan føre til mer utvidede svar for alle.

Trenger vi virkelig flere blogger? Er ikke egentlig blogbegrepet passé?
Tja. Alt er relativt. Kanskje trenger vi ikke det. Trolig ville min hverdag kunne fortsatt fint uten å benytte tid her. Men så lenge jeg finner det underholdende å skrive fortsetter jeg med det. (Antallet lesere har jeg ingen formening om foreløpig.)

Hvorfor M$, M$, M$ - hvorfor ikke noe ordentlige saker som Linux, OpenMoko, Mac, iPhone, etc?
Jeg har ingenting imot andre teknologier enn Microsoft. Jeg har også Linux kjørende hjemme - både i form av PC med det som OS, og Linksys-produkter som er flashet om. I tillegg hender det jeg logger inn på en og annen server i jobbsammenheng. Apple er jeg ikke like stor fan av, dog jeg har en iPod liggende (som forsåvidt også benyttes). Men tilfeldighetene vil ha det sånn at Microsoft er det jeg har jobbet mest med, kjenner best, og kunnskap om deres produkter er også med på å bidra på lønnsslippen min.

Designet var vel ikke mye å rope hurra for? For ikke å snakke om at det skinner igjennom hva slags ferdig-løsning som ligger bak.
Jeg skal være første mann til å innrømme at design ikke er det jeg primært jobber med. Det krever en god del for å lage gjennomtenkte design med farger som spiller sammen, plassering av elementer, logoer, og så videre. Så valgte derfor noen basis-themes som utgangspunkt, og så får det komme litt tilpasning etterhvert. Bare en liten logo vil jo friske opp. Det er også helt riktig at det er en løsning som ligger bak - så mye som det finnes tilgjengelig etterhvert virket det ikke så meningsfylt å lage noe fra scratch. Og ikke minst; selv om jeg jobber mye med Windows Server har jeg til og med valgt å benytte en annen host for siten enn datarommet hjemme :)

All right ramblers, let's get rambling!