Da var 70-238 passert også. Jeg valgte å ta 70-238 før 70-237 selv om det virker "ulogisk" mest fordi det var mer materiale tilgjengelig så vidt jeg kunne se når jeg begynte å lese. Det har jo ikke så mye å si heller i hvilken rekkefølge man tar de to.

Det var vel en av de "hyggeligere" eksamener jeg har vært borti, med relevante spørsmål som jeg også kan relatere til hverdagen :) (Er jo ikke alltid man kan det med Microsoft-eksamener.)

Viktige poeng for å ta denne eksamenen:
- Forstå de forskjellige rollene i Exchange 2007; Client Access Server, Hub Transport, Mailbox og Edge. Hva de brukes til, hvordan de spiller sammen, etc.
- Forstå hvordan du kommer deg fra Exchange 5.5/2000/2003 til Exchange 2007. Du behøver ikke vite konkrete kommandoer og tastesekvenser, men for eksempel sånne detaljer som at hvis du har Exchange 5.5 må du gå via Exchange 2003 hvis du skal oppgradere.
- Lær deg forskjellen på de forskjellige Cluster-teknologiene i Exchange 2007; Local Clustering Replication (LCR), Single Copy Clustering (SCC) og Cluster Continous Replication (CCR).
- Standby Clustering Replication (SCR) som ble introdusert med Service Pack 1 til Exchange 2007 har ikke rukket å bli en del av eksamen ennå.
- Forstå hvordan forskjellige Exchange organisasjoner kan spille sammen; for eksempel "Ditt firma kjører Exchange 2007, og så kjøper dere et firma som kjører Exchange 2003" etterfulgt av noen spørsmål om hvordan informasjon flyter mellom de to firmaene.
- Forstå hvor du setter hvilken Exchange-boks hvis du har flere lokasjoner; eksempelvis "All mail til internett skal gå gjennom hovedkontoret" indikerer at du muligens bare skal ha Edge på hovedkontoret. (Avhengig av hvilken andre parametere som er oppgitt i spørsmålet naturlig nok.)

Så da var det bare å sette seg ned med neste eksamen, men det haster ikke her og nå :)

Jeg skrev i min forrige post (Exchange 2007 SP1 + Windows Mobile 6.1 = Nye policies) at Exchange 2007 SP1 introduserte nye policies - da spesielt i tospann med Windows Mobile 6.1. Og har du først WM 6.1 så kan du få ytterligere flere innstillingsmuligheter hvis du har System Center Mobile Device Manager 2008 (SCMDM2008).

Jeg hadde mine mistanker om at siden det trolig er en feature på klienten hvordan dette implementeres burde det være mulig å få det til uten Exchange 2007. Etter litt research fant jeg ut at joda - man kan knote inn uten Exchange/SCMDM. Alltid godt å få bekreftet det man tror :)

Jeg skal ikke gå i dybden angående provisioning, (som jeg benyttet), siden dette står beskrevet i detalj både på MSDN og google. Det er i hvert fall ikke et hemmelig triks for å si det sånn.  Men for å ta det i veldig korte trekk:
- Skriv en tekstfil med provisjonerings-XML.
- Lagre som _setup.xml.
- Kjør "makecab xxx.cab _setup.xml". (Makecab installeres enten med Visual Studio eller lastes ned som et frittstående verktøy fra Microsoft.)
- Overfør fil til din enhet (via ActiveSync, minnekort, eller hva du foretrekker).
- Kjør fil.
- Se om det fungerte :)

Det finnes andre måter å provisjonere også, men dette er den enkleste når du bare skal lage noe enkelt på pcen og få inn på enheten uten alt for mye innsats.

Det er viktig å observere at enkelte settings/policies kan kreve at du har utvidede rettigheter på enheten og at dette innebærer at du må signere cab-filen med et riktig sertifikat.

Men hva skal inn i denne "magiske" filen? Jeg har valgt her å teste policien som blokkerer muligheten for å sette opp POP3/IMAP4-kontoer på enheten. Dette er XMLen som skal til for å gjøre det:

<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
     <parm name="4148" value="0"/>
</characteristic>
</wap-provisioningdoc>

Resultatet? Like this:

Neste logiske oppfølgingsspørsmål her blir selvfølgelig - "og hvordan kan man vite at denne disabler POP/IMAP, og hva betyr 4148?". Nei, det var det da :) Noe av dette står beskrevet og dokumentert på MSDN; så det kan være et greit sted å starte for å finne ut mer. Noen andre settings er mindre dokumenterte. (Mulig jeg kommer tilbake med fler settings senere, men jeg garanterer ingenting:) )

Så skal det sies at jeg her har satt opp en Exchange-kobling før jeg la inn denne sperren. Du benytter "Opprett e-post" også for å sette opp Exchange, men meldingen som sier no go kommer før du kan velge hva slags konto du skal sette opp. Så det kan jo være verd å teste om man faktisk får satt opp Exchange hvis man legger inn denne sperren - selv om sperren bare skal blokkere POP/IMAP. I den offisielle Microsoft-verden er jo ikke dette et problem siden det er Exchange som skal sette policyen :)

Husk også at hvis det både er definert en policy på Exchange, og du endrer settingen lokalt på enheten, kan Exchange overskrive dette hvis det er satt en policy refresh intervall.

Og sist, men ikke minst - jeg vet at jeg skrev "uten server" i tittelen. Men det sier seg selv at det er ikke et alternativ å distribuere diverse cab-filer via mail/minnekort som en løsning for device management. Derimot så kan det jo hende at du har et annet system enn Exchange hvor du ønsker å kunne gjøre noen av disse tingene.

Relevante linker:
Microsoft Cabinet Software Development Kit (makecab)
Managing Windows Mobile Powered Devices (MSDN)

Det er kjent, (for de som følger med på slike ting), at det kom noen nye features for ActiveSync og Windows Mobile med Service Pack 1 til Exchange 2007. Selve det faktum at man kan synkronisere enhetene er jo ikke nytt, men det kom endel nye policy-innstillinger for å kontrollere enhetene og sette et bestemt sikkerhetsnivå.

De forskjellige innstillingsmulighetene er vist nedenunder:

Hvis du har RTM av Exchange 2007 vil du ha tilsvarende fliker, men ikke de samme sjekkboksene. Dessverre ser man ikke fra interfacen hva som er Windows Mobile 6.1 features og hva som er WM 6.0 / WM 5.0. (Skal vi være nøyaktige går det på ActiveSync-versjon, og derfor kan det også fungere på Nokia med Mail for Exchange så lenge den støtter samme versjon som korresponderende Windows Mobile.)

De fleste innstillingene er ganske selvforklarende og jeg går ikke i detalj, men kan forklare noen utvalgte:
- "Allow non-provisionable devices". Dette går på hvorvidt vi tillater enheter som ikke oppfyller alle innstillingene vi ønsker å koble til og synkronisere. Det vil si at hvis settingen krever Windows Mobile 6.1 kan ikke Windows Mobile 5.0 koble til. Hvis du bruker Nokia E-serie med Mail for Exchange går det kanskje bra, men Nokia N-serie funker ikke. Gjør dine testinger og vurderinger.
- "Allow Bluetooth" kan settes til Enable, Disable eller Handsfree only.
- Noen av innstillingene er oppgitt til å kreve Enterprise CAL. Dette er så vidt jeg kan finne ut ikke en teknisk sperre, eller at noe må skrus på, men at man må holde oversikten papirmessig at det matcher lisensene man har.
- Forskjellen på "unsigned application" og "unsigned installation package" er blokkering av .exe & .dll versus blokkering av .cab. Muligheten for to nivåer av blokkering kan være nyttig i noen scenario.  Merk at brukeren fremdeles får opp advarsel og må bekrefte ved installasjon av usignerte caber.

Ulempen med mange av disse innstillingene er at det ikke har vært mulig å teste de i praksis da de krever Windows Mobile 6.1. Jeg har ventet litt på enheter med den versjonen av Windows Mobile, men har først nå fått mine klamme fingre rundt en fungerende ROM. (For de som tenker at dette har vært på Xda i lang tid så er det riktig, men jeg har anskaffet dette via noe mer lovlige kanaler.)

Du kan selvfølgelig lage forskjellige ActiveSync-policier og definere de til å gjelde for forskjellige brukergrupper avhengig av dine behov. Jeg valgte å gjøre det veldig enkelt for testens skyld og lagde bare en policy som vist i skjermbildene over.

Enheten ble satt opp via Autodiscover, (se tidligere post: Windows Mobile 6.1 + Autodiscover = Go), og når synkroniseringen begynte fikk jeg beskjed om å godta det faktumet at det er en policy på server. (Dette får man også med Windows Mobile 6.0 og SP1.) Så tygget ActiveSync litt før den presenterte en beskjed om at det var gjort endringer som krevde restart av enheten. Helt ok. Når jeg deretter forsøkte å skru på Bluetooth og WLAN var det no go. Det underlige er at avhengig av hvor i brukergrensesnittet du forsøker å aktivere det så er det enten en tydelig beskjed om hvorfor det ikke fungerer, eller så bare fungerer det ikke. Det kan muligens forvirre noen brukere...

Selvfølgelig har vi også noen screenshots av hvordan dette ser ut på enheten :)
Comm Manager:

WLAN og Bluetooth er grået ut. Å trykke på WLAN har ingen effekt. Trykke på Bluetooth får enheten til å tenke litt, men gjør heller ikke noe.
Innstillinger->Trådløst LAN. Ingen effekt ved å trykke på "Slå på WLAN".
 
Forsøk på å aktivere Bluetooth ved å gå på Innstilllinger->Bluetooth

Internet Explorer:
Start-meny før og etter blokkering av browser.

Forsøk på å starte Internet Explorer (siden det tross alt fremdeles er et ikon der):

Jeg aktiverte også kryptering av enheten, ikke bare minnekortet som i WM 6.0, og man får da beskjed når man booter at enheten er kryptert før man trykker inn PIN-kode/passord. Jeg kommer til å teste denne krypteringen nærmere da jeg har litt blandet erfaring med kryptering fra tidligere av med tanke på ytelse og brukeropplevelse.
Et par ting er verd å nevne rundt denne funksjonen:
- Den kan kun aktiveres fra serverside. Det er ikke mulig på enheten å aktivere annet enn kryptering av minnekort.
- Kryptering gjelder enten hele enheten, eller ingenting.
- Det er mulig å konfigurere kryptering mer finkornet - via System Center Mobile Device Manager (SCMDM2008), men altså ikke via Exchange.

Hvis du endrer policy så kan det ta litt tid før det skjer endring på enheten avhengig av replikering på Exchange, om du har push eller intervallsynk på ActiveSync, etc. Endel av innstillingene, (i hvert fall de som har med disabling/enabling å gjøre), krever en soft reset av enheten så skal du teste og leke bør du kanskje ha en egen policy for dette så ikke andre brukere må soft resette enhetene sine villkårlig.

Fikk en fin liten nøtt å knekke i dag når jeg skulle logge på en virtuell domenekontroller... Feil brukernavn/passord. Dobbelsjekket at det var riktig skrevet, men no go. Jeg endret passordet forrige uke, men jeg var sikker på at det jeg endret til var det jeg skrev. I testmiljøer har jeg egentlig ikke for vane å endre passord så ofte, men Windows Server 2008 har default at også adminkontoens passord må byttes. (Kan selvfølgelig endres, men husket ikke på det under installasjon.)

Når jeg klarte å koble noen av mine andre opplevelser med Hyper-V med dette kom jeg på at det er en "feature" når du bruker Remote Desktop mot Hyper-V host, og så bruker konsollet videre mot Hyper-V guests, så kan tastaturet finne på å switche mellom Num Lock av/på litt villkårlig. Dette er et problem på noen av tastaturene jeg har som ikke har dedikert numpad, men har en slags "fake numpad" inne blant de vanlige tastene. Derfor hadde trolig den switchet seg på mens jeg skiftet passord, og med andre ord var passordet satt til noe jeg ikke hadde noen som helst forutsetning for å gjette meg fram til.

Jeg hadde passordet som ble satt når jeg kjørte dcpromo. Dermed kunne jeg boote i Directory Services Restore Mode (DSRM), og komme inn på boksen dog uten mulighet for å resette noen AD-passord. Fant en fin guide for Windows Server 2003 (http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm) og tenkte denne kunne forsøkes. Prosedyren ga aldri noen feilmelding, men det var ikke mulig å logge inn når jeg bootet normalt så jeg kom vel fram til at metoden ikke fungerte. (Fremdeles feil passord.) Men det ga meg noen idéer til noe annet jeg kunne forsøke :)

Hvordan nullstille passord for domain admin i Windows Server 2008:
- Boot server i Directory Services Restore Mode (DSRM). Gjøres ved å trykke F8 under boot.
- Logg på med lokal admin konto.
- Regedit:
Key: HKLM\System\CurrentControlSet\Control\Lsa
Entry: DSRMAdminLogonBehavior
Type = REG_Dword
Value = 2
- Reboot og start i normal modus.
- Logg på med DSRM-kontoen.
- Fyr opp kommandolinjen og kjør "net user administrator nytt_passord /domain".
- Logg av.
- Logg på med domain admin igjen for å sjekke at det fungerte.

Så bør du vurdere om DSRMAdminLogonBehavior skal settes tilbake til default som er 0. (Se link lenger ned for detaljene.)

For mer info:
Windows Server 2008 Restartable AD DS Step-by-Step Guide

Da var endelig norsk Service Pack 1 til Vista sluppet også. Tenkte at det da var på tide og legge inn RSAT (Remote Server Administrator Tools) siden den har SP1 som requirement. Men, så enkelt var det jo selvfølgelig ikke...

Vet ikke om dette er spesifikt for min Vista, at det er norsk Vista jeg har, eller noe tilfeldig. Men fikk i hvert fall feilmelding 0x80004005 "Ukjent feil", og ikke så mye mer framgang.

Hvis du skulle oppleve dette er dette løsningen jeg måtte benytte:
- Fyr opp en kommandolinje
- "expand -f:* C:\RSAT\Windows6.0-KB941314-x86.msu %TEMP%"
- "pkgmgr /ip /m:%TEMP%\Windows6.0-KB941314-x86.cab"
- Du får ikke opp noen grafisk indikator, så du kan enten gå opp ta deg en kopp kaffe, eller vente til pkgmgr forsvinner fra prosesslisten i Task Manager.
- Start->Kontrollpanel->Programmer og funksjoner->Slå Windows-funksjoner på eller av.
- Huk av for Remote Server Administration Tools og trykk "OK".

RSAT kan kun installeres på Vista Business, Enterprise eller Ultimate. (Siden det kreves medlemskap i domene.)

RSAT kan lastes ned fra MS og finnes i 32-bits og 64-bits versjoner:
32-bit: Microsoft Remote Server Administration Tools for Windows Vista with SP1 (x86)

64-bit:Microsoft Remote Server Administration Tools for Windows Vista with SP1 (x64)

Tidligere har jeg nevnt at Autodiscover i Windows Mobile hadde sine begrensinger (Autodiscover + Windows Mobile = No go).

Nå er Windows Mobile 6.1 lansert, og denne gangen står det eksplisitt i slideshowene at Autodiscover skal støtte Exchange. (Needless to say krever det Exchange 2007.) Så dette måtte jeg jo da verifisere. La oss være ærlige nok til å innrømme at det kan kreve litt mekking for at det skal fungere alt avhengig av din infrastruktur. Jeg publisererer Exchange og Autodiscover via ISA Server 2006, og det er da der endel konfigurering havner.

Så hvordan ser resulatet ut? Jo, du starter med å skrive inn epost-adresse og ditt tilhørende passord:

Forhåpentligvis får du beskjed om at "Auto Setup found settings":
 

"Finish" og så skal synkronisering starte. (Du kan selvfølgelig velge å redigere innstillinger for hvor mange dager som skal synkes, etc akkurat som før.) Med andre ord ikke noe knoting med å skrive inn serveradresse og slikt. Mange vil vel si at det ikke var så vanskelig det heller, men ser man fra et sluttbrukerperspektiv er det vel flere som vet epost-adressen sin enn serveradressen til ActiveSync.

Nå krever det som sagt litt for å få det til å fungere så sømløst, så hvis du i bilde 3 får beskjed om at innstillinger ikke kan finnes får du et nytt forsøk. Da må du velge at det er en Exchange-konto du skal sette opp, fylle inn epost-adresse, passord, og domene - og så hentes serveradresse automatisk. Det krever fremdeles Exchange 2007 og riktig oppsett på server, men kan hjelpe deg i i tilfeller hvor domenenavn og epost-adresse ikke er det samme.

En av tingene jeg var irritert over når jeg skulle installere System Center Mobile Device Manager var den heller spartanske dokumentasjonen, også kjent som mangelen på sådan. Samtidig som Windows Mobile 6.1 offisielt ble bekreftet viste det seg at Microsoft hadde noen dokumenter liggende på lur. (Tilfeldig at tidspunktene var sammenfallende? Helt sikkert...)

MS har lagt ut både generell dokumentasjon, (Architecture, Planning Guide, Deployment Guide), og en del nyttige verktløy som blant annet et enkelt resource kit og en Best Practices Analyzer. Det var ikke dumt å få tilgang til det :)

Check it out: http://technet.microsoft.com/en-us/scmdm/default.aspx 

Jeg nevnte når jeg skrev om installasjon at det var mulig jeg klarte å ta noen screenshots også. Det har jeg nå gjort, og selv om man ikke akkurat blir opphisset av det så ligger det jo noe i "seeing is believing". Det gir en idé om hva det går ut på i hvert fall :)

Som nevnt er det forskjellige komponenter av admin tools. (Jeg har to servere - 1 DM & Enrollment Server, og 1 Gateway.)
Device Management Console:

Hovedbildet i DM-konsollet.

Serveroversikt. Merk at det her vises som 3 logiske servere, selv om det bare er 2 servere. (Kan sees ved at "Server Name" er det samme for rollene "Device Management" og "Enrollment".) Det er ikke synlig på dette bildet, men "mdm-gw" er plassert i DMZ.

Gateway Management viser hva som er koblet opp av Gateway-servere og hvorvidt de er i synk og fungerende. Ved feil konfigurering i forhold til åpne porter, og sertifikater vil bildet ikke nødvendigvis se slik ut...

Siden det ikke er noen devicer som er koblet opp mot dette miljøet, (pga mangel på enheter med Windows Mobile 6.1), er det ikke så mye å vise fram fra de videre opsjonene under det første screenshotet.

Hvis du skulle foretrekke å administrere via kommandolinjen, for eksempel i noen scripting-scenarioer, er dette også en løsning med Powershell integrert.

Konsollet for software-distribusjon (basert på WSUS) er et eget MMC-konsoll.

Pakkeoversikt.

Oppsummering av enheter og status i forhold til pakker.

Et utvalg av rapporter og oversikter.

Heller ikke her så mye konkret å vise fram ennå.

Hvis du konkret ønsker å sette innstillinger/policies/etc så er det Group Policy som gjelder og de tilhørende verktøy for dette. Siden GPMC ikke er helt kompatibelt med 64-bits OS så er dette screenshots fra en 32-bits server hvor det er lagt inn de nødvendige extensions.

Windows Mobile Settings.

Forklaring til policy som blokkerer SMS & MMS.

Det er selvfølgelig mange fler innstillinger enn det lille man kan se her, hvorav noen mer interessante enn andre.

Dette skulle gi en liten smakebit på hvordan produktet ser ut fra admin-siden - vi kommer tilbake til klientsiden senere :)

Hyper-V ble akkurat tilgjengelig i Release Candidate 0. (Akkurat betyr i denne sammenhengen samme dag som jeg tok påskeferie, og derfor ingen aksjon før nå.) Siden Hyper-V tilfeldigvis er det som får noen av mine bokser til å snurre rundt og disse i øyeblikket kjørte beta tenkte jeg at det ville neppe skade å oppgradere de.

Jeg fryktet at det ikke var en upgrade path, og at det involverte reinstallasjon eller noe, men heldigvis ikke. Framgangsmåten er enkel :)
- Last ned relevant patch fra http://support.microsoft.com/kb949219
- Ta en vanlig shutdown av de virtuelle boksene. Husk å notere ned innstillinger for nettverkskortet først da disse må inn på nytt senere.
- Slett virtuelle nettverk og nettverkskort du evnt har laget.
- Kjør nevnte hotfix/patch/upgrade på den fysiske boksen.
- Reboot.
- Slett de virtuelle maskinene. Bare selve konfigen, og ikke den virtuelle harddisken. Notér ned innstillingene først så du kan sette opp disse på nytt. (Du kan for så vidt slette disse før rebooten, men hos meg var det en eller annen underlig bug som ikke tillot meg å gjøre det. Nei, det hjalp ikke å bare restarte servicen heller.)
- Opprett virtuelle nettverk/nettverkskort på nytt.
- Opprett nye virtuelle maskiner, og koble disse mot de korresponderende virtuelle diskene.
- Fyr opp de virtuelle boksene.
- Hvis den virtuelle boksen er Windows Server 2008 kjør samme patch der som på den fysiske boksen. Reboot når du får beskjed. Når den er oppe igjen konfigurerer du nettverkskortet på nytt.
- Hvis den virtuelle boksen er Windows Server 2003 Action->"Insert Integration Services Setup Disk". Bekreft at du vil oppgradere fra eksisterende versjon. Reboot. Konfigurer nettverkskort på nytt.

Dette var egentlig ganske pain free, med en liten gotcha :) Hvis du skal remote inn på den fysiske boksen, og derfra bruke konsollet inn (du kan jo ikke remote direkte uten nettverkskort) bør du være vass på å navigere med tastatur i Windows. (Og husk at du ikke nødvendigvis klarer å ta i bruk Alt-Tab, Ctrl-Esc, etc.) Siden du ikke har de rette drivere og integration services vil ikke mus fungere som den skal. Det er mulig med litt kreativitet, men hvis du har direkte tilgang inn på den fysiske boksen bør du vurdere det.

Jeg har ikke rukket å registrere om det er noen økning i performance, men de sier det skal være det. I tillegg så er det vanlige med masse fiksede bugs, etc.

Da var det også mulig å laste ned SCMDM2008 fra Technet/MSDN. (Ble tilgjengelig 11.03 en gang mellom midnatt og 08 norsk tid:)  ) Jeg vet at det kanskje er bare meg og mine sære interesser, men jeg har sittet og ventet litt på den og har hatt en intensjon om å være kjapt ute med å laste ned den og teste. Første overraskelse var at nedlastingen var et .iso på "usle" 27 MB, men behøver vel ikke klage på det :)

For en kortfattet oppsummering av produktet som sådan refererer jeg til min egen "Preview light".

Min jobb er blant annet å sitte og "leke meg" med systemer for Mobile Device Management så når jeg nå satt meg ned for å evaluere dette var det både med tanke på å sammenligne dette med referansene jeg har fra andre løsninger, og lære meg et nytt system.

Som tidligere nevnt så er denne løsningen designet for å gjøre PDA/Smartphone-enheter til en del av domenet så har du ikke et domene kan du egentlig bare stoppe der :) Enhetene i felten får en VPN-tilkobling til domene via mobilnett/WLAN/etc gjennom en Gateway Server, (som er naturlig å plassere i DMZ). Denne serveren samkjører seg inn mot en Device Management Server (som holder rede på enhetene) og Enrollment Server (som håndterer sertifikat for enhetene). Mer om detaljene senere.

For å få det installert er det et par ting du må på plass først:
- Du må kjøre en Enterprise CA (som er installert før du starter å installere SCMDM).
- En MS SQL server (kan legges på samme boks som SCMDM, men må selvfølgelig uansett inn først).
- Minimum 2 servere (én for Gateway, og én for Device Management & Enrollment). Disse må kjøre Windows Server 2003 SP2 64-bit. (Samme om det er R2, Standard, Enterprise, etc.)

I tillegg så er det noen requirements for de konkrete serverene det skal inn på:
Device Management Server:
- Domain member
- IIS 6.0 & WWW Publishing Service
- .NET 2.0
- MMC 3.0
- WSUS 3.0 SP1 (Krever Report Viewew 2005 SP1)
Enrollment Server:
- Domain member
- IIS 6.0 & WWW Publishing Service
- .NET 2.0
Gateway Server:
- IIS 6.0
- .NET 2.0

Hardware kreves også selvfølgelig, men så lenge du har en boks som kan kjøre 64-bits Windows Server 2003 tror jeg det mer er et spørsmål om anbefaling i forhold til skalering. Jeg kjører på Hyper-V med en Xeon 3040 som CPU-grunnlag og 1.5 GB RAM allokert. For DM-rollen er det ikke angitt noen krav, men for Enrollment og Gateway står det 4 GB RAM og 100 GB HDD, men det går altså an å installere på mindre uten warnings/feilmeldinger.

Som nevnt kan DM og Enrollment være på samme boks uten konflikter forutsatt at det allokeres forskjellige porter for kommunikasjon. Enrollment må kjøre på port 443.

I min naive barnetro så forsøkte jeg å legge det inn på Windows Server 2008, men neida - står det 2003 så mener de tydeligvis det. Regner dog med at det kommer på plass etterhvert. Jeg gjorde ikke noe forsøk på å "hacke" meg rundt det, men det kan jo hende det er mulig også for den saks skyld.

Etter at du har satt opp en CA, to servere og lagt inn prerequisites er det en anbefalt rekkefølge deretter:
- Klargjøre AD. Det er ingen schema endringer, men må lages Certificate Templates, OUer, Group Policies, etc.
- Installere Device Management Server.
- Installere Enrollment Server.
- Installere Gateway Server.
- "Koble sammen" Device Management Server med Gateway Server.
- Legge inn Administrator Tools.

Sistnevnte er litt "festlig"; Admin Tools krever/baserer seg på GPMC (Group Policy Management Console) for å sette policies. Men GPMC finnes ikke i 64-bits versjon så policies må settes fra en 32-bits boks. Og det er jo litt selvmotsigende når serveren krever 64-bits. Jeg er klar over at mange uansett ville hatt Admin Tools på en annen maskin enn selve serveren løsningen kjører på, men når jeg labber liker jeg å legge inn sånt på selve serveren.
Merk at Admin Tools også består av et MMC-konsoll og det kan fint legges inn på 64-bits.

Så nå har jeg et fungerende miljø med System Center Mobile Device Manager 2008 installert. Det vil si - jeg har ikke publisert og åpnet opp i ISA Server. Men dette henger igjen sammen med at jeg ikke har noen devicer med Windows Mobile 6.1 så jeg har ikke maskinvare med nødvendig klient. Det hindrer meg selvfølgelig ikke i å gjøre meg mer kjent med serverside og se gjennom settings og det hele, men én ting om gangen :) Ikke umulig at jeg vender tilbake til produktet i en senere post, og kanskje inkluderer noen screenshots også hvis det er en god dag.

I Windows Mobile 6 dukket det opp en ny og tilsynelatende hendig opsjon på enhetene for å sette opp e-post på en enklere måte. Når du skal legge til en ny e-postkonto får du beskjed om å skrive inn mailadressen og automatisk hake for "Prøv å hente innstillingen for e-post fra Internett". Har du forsøkt å sette opp denne mot Exchange? Ikke bruk mer tid på det :)

Det finnes to teknikker for automatisk oppsett - den ene er "Autodiscover" og den andre er "Guessmart". Førstnevnte er for å finne Exchange/Outlook-innstilinger og støttes i Exchange 2007 og Outlook 2007. Den andre er for å finne innstillinger for POP/IMAP. (Går ikke nærmere inn på detaljene for hvordan dette fungerer her og nå.) Windows Mobile 6 støtter kun sistnevnte, og kan derfor brukes til å sette opp eksempelvis @online.no, men kan ikke benyttes mot Exchange.

Dette er en upraktisk begrensning. Det er forsåvidt ikke det at det nødvendigvis er så vanskelig å gjøre det manuelt, men du blir litt irritert når det bare ikke virker og du ikke har noen god forklaring på hvorfor. Og så tenker du plutselig på om det er du som har feilkonfigurert noe :)

Forhåpentligvis er dette fikset i Windows Mobile 6.1, (og det skal jeg selvfølgelig teste), men inntil det så er det bare å la det ligge.

Takket være litt treghet og en ukes vinterferie tok det litt tid før jeg klarte å ta aksjon og portere den andre Exchangen til Windows Server 2008. På denne boksen kjører jeg "hovedrollene" til Exchange 2007 - det vil si Client Access, Hub Transport og Mailbox.

Også her er det noen requirements som bør fikses før du trykker install:

- ASP.NET 2.0 er allerede installert, og det samme med MMC 3.0.
- Neste ting å legge inn er Powershell. Dette gjøres enten ved å legge det til som en feature via "Server Manager", eller kjøre følgende på kommandolinjen: "ServerManagerCmd -i PowerShell".

Legg til rollen "Web Server" i Server Manager. Siden IIS 7 er mer finkornet i Windows Server 2008 enn IIS 6 i Windows Server 2003 må du også spesifisere hvilke moduler du behøver; såkalte "Role Services" i denne sammenheng. Du behøver følgende for å kjøre de nevnte Exchange-roller (sette hake under hovedpunktene):

IIS 6 Management Compatibility

Security:
Basic Authentication
Windows Authentication
Digest Authentication

Performance:
Dynamic Content Compression

Når dette var på plass tok det ca 20 min for setup å gjøre det den skulle.

Anbefaler å legge inn den nylig slupne Rollup 1 for Exchange 2007 SP1 når du først er i gang. (Dette forutsetter at du kjører SP1. Kjører du RTM skal du legge inn Rollup 6.)

Så avsluttes det hele med en aldri så liten reboot av Windows.

Etter å ha revet seg i håret for å til slutt finne ut at det er en fordel å skrive riktige IP-adresser i DNS fikk jeg også kjørt opp synkronisering mot Edge-serveren. Den "gamle" 32-bits 2003 Edge-serveren fjernet jeg bare subscription for så er den ute av spillet. Da skal jeg bare få flyttet mailboksene over fra den andre 2003-serveren og så kjøre en uninstall av Exchange 2007 på den så regner jeg miljøet som overflyttet. New and shining Windows Server 2008 x64 + Exchange 2007 SP1 x64 Enterprise Edition :)

Etter å ha knotet med Exchange 2007, og også kommet så langt som at det er sluppet service pack til produktet klarte jeg å ramle innom et testsenter for å ta eksamen. (Ok, skal innrømme at jeg leste før jeg "ramlet innom".) Den har vært tilgjengelig et års tid så kvalifiserer ikke til såkalt Charter Membership (de fem eller seks første månedene etter release dato hvis jeg husker rett). Men jeg har hatt mye annet å fylle tiden med, inkludert andre sertifiseringer fra MS.

Det var ikke den letteste eksamen jeg har tatt, men jeg klarte heldigvis å stå på første forsøk likevel. Så nå kan jeg smykke meg med tittelen MCTS: Microsoft Exchange Server 2007, Configuration.

Hva kan sies om innholdet? Innlysende nok kan jeg ikke ramse opp spm her, men noen ting kan jo nevnes:
- Gjenta etter meg "jeg elsker PowerShell". Hvis du ikke gjør det har du et problem :) Det var rett og slett mange spm som krever at du husker utenat de fleste cmdletene. Dagens tips i den anledningen - http://207.46.19.190/downloads/details.aspx?FamilyID=01a441b9-4099-4c0f-b8e0-0831d4a2ca86&displaylang=en for en referanse over alle Exchange-relaterte Powershell-kommandoer.
- Lær deg hvordan besvare spørsmål som inneholder ordene "xxx fails". Du må vite hvordan gjenopprette servere som tar kvelden, hvordan kjøre opp backuper fordi noe feilet, hvordan clustering fungerer.
- Mye går på ren pugging her. "Hva må være installert på server før du installerer Exchange 2007", "Hvilken kommando bruker du for å sette følgende rettighet", etc. Det er ingen "hvorfor"-spm og veldig lite som berører design av Exchange-infrastruktur.
- Dette betyr at den er mer beregnet på at man skal vite hvordan man drifter Exchange 2007, benytter det, og får det til å snurre rundt i hverdagen enn å finne ut hvor man skal plassere Exchange-servere hvis man har 5 lokasjoner med forskjellige behov.

Så da får vi se om jeg tar fatt i 70-237 og 70-238 etterhvert som en fortsettelse :)

Et stk clean (virtuell) install av Windows Server 2008 "lå og ventet" på at jeg skulle legge inn noe på den. Siden min nåværende Exchange 2007 installasjon har vært x86/32-bits var det på tide å gå over til "ekte" med x64/64-bits. Og hva er da mer naturlig enn å i samme slengen overføre det til Windows Server 2008.

Jeg startet med Edge-serveren, og her er stegene/erfaringene rundt det:

- Konfigurer ting som statisk IP, DNS, etc. Sett også et DNS-suffix på serveren. (Siden Edge-serveren ikke meldes inn i domene må det settes manuelt.) NB - det holder ikke å sette det på nettverkskortet, det må settes på "Properties" for "My Computer". For Windows Server 2008: "My Computer"->"Properties"->"Advanced System Settings"->"Computer Name". Klikk på "Change"->"More" og skriv inn i "Primary DNS suffix of this computer". Deretter må du restarte serveren.
- Du vil få feilmelding hvis du setter et såkalt single-label domenenavn. Det vil si at hvis du i forrige steg satte bare "Contoso" er ikke det nok - du må ha "Contoso.com" eller tilsvarende.
- ASP.NET 2.0 er allerede installert, og det samme med MMC.
- Neste ting å legge inn er Powershell. Dette gjøres enten ved å legge det til som en feature via "Server Manager", eller kjøre følgende på kommandolinjen: "ServerManagerCmd -i PowerShell".
- Du må ha installert Active Directory Application Mode (ADAM) for å få synkronisert ut info fra domenet. Dette gjøres ved å gå på Start->Run og skrive inn "cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM"

Disse enkle stegene ga i hvert fall meg grønt lys for å trykke "Install" :)

Selve installasjonen av Edge-rollen tok deretter cirka 10 minutter å installere. (Dette er bare for å få det inn så klart, og inkluderer ikke konfigurasjon/oppsett mot "hovedserver". Mer om sistnevnte i et senere kapittel.)

Så anbefales en Windows/Microsoft Update; i mitt tilfelle var det en anti-spam update tilgjengelig. Reboot server. Så kan du vurdere om du vil legge inn Forefront, kjøre Security Configuration Wizard, etc.

Da ser det ut til at SCMDM2008 har gått RTM i går (18.02.2008). Har ikke klart å få fingrene mine rundt en download ennå, men det bør være rett rundt hjørnet med litt flaks. (Microsoft har prioritert å dytte ut forskjellige varianter av Windows Server 2008 de siste to ukene.)