交換線上問答:可行的因應措施
當您需要進行停用 SSL 2.0 或解決同步處理問題這類工作時,Microsoft Exchange 中有因應辦法。
Henrik Walther
Georg Hinterhofer
禁用 SSL
**Q。**最近,我們執行我們的 IT 基礎結構的安全審計。 其中一項建議是要禁用 SSL 2.0 對於 Web 服務,包括 Exchange 服務,例如 Web 訪問,Outlook 無處,Exchange Web 服務,等等。 執行此操作的最佳方法是什麼?
**答:**首先,讓我們看看為什麼您安全顧問推薦此更改。 SSL 2.0 是早在上世紀 90 年代中期開發的 (如 SSL 3.0,順便說一下)。 它是第一個常用加密和身份驗證協定之一在 Web 上。 然而,SSL 2.0 有幾個可能導致人在中東的弱點和其他類型的攻擊。 此外,SSL 3.0 特色功能改善很多。
這是如何影響 Exchange 的? 嗯,交換不會有其自己的加密協定。 相反,它依賴于基礎作業系統提供的加密服務。 所以 Exchange 將使用任何協定或您允許或禁止在 OS 加密服務的密碼。
基本過程概述在支援文檔中, "如何禁用 PCT 1.0、 SSL 2.0、 SSL 3.0 或 TLS 1.0 的互聯網資訊服務,"適用于所有當前版本的 Windows。 如果您想要禁用 SSL 2.0,請執行以下步驟:
- 開放 regedit.exe。
- 導航到:HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server。
- 創建類型的新值"dword 值"稱為"啟用",並在二進位編輯器中輸入的值 00000000 (請參見圖 1)。
- 重新開機電腦。
.jpg)
圖 1 此數值型別是禁用 SSL 2.0 的過程的一部分。
相同的過程適用于您需要禁用,如私人通信傳輸 (PCT) 1.0 的任何其他協定。 它甚至可以在微軟最前沿的威脅管理閘道框中,在您使用的一個或多個出版交流的情況下。
可能還會要求您禁用弱密碼,如 DES 56/56,等等。 您可以迪亞布勒這些相同的方式。 只需添加到相應的註冊表配置單元稱為"啟用"dword 值,並將其值設置為 00000000。 請確保您總是做適量的測試,所有所需的用戶端,以確保你不會通過禁用伺服器協定或密碼的任何用戶端功能。
Org 形式不同步
**Q。**自從我們搬到了 Exchange 2010,我們與我們在緩存模式下的 Outlook 用戶端有無數的同步問題。 錯誤訊息狀態出了毛病同步組織表單庫。 這樣就會導致服務台電話,這反過來導致使用者的不滿。 他們不連接到 Exchange 時,我的客戶可以不再使用形式。 還有什麼我們能做些什麼嗎?
**答:**確切的錯誤資訊,您將會看到可能看起來像這樣:
19:23:23 Synchronizing Forms 19:23:23 Downloading from server FQDN 19:23:23 Error synchronizing folder 19:23:23 [80004005-501-4B9-560] 19:23:23 The client operation failed
這可能會填滿同步問題資料夾。 它只會顯示出,一旦你擁有一個駐留在 Exchange 2010 公用資料夾存儲上的組織形式資料夾。 其原因是編碼的 bug 在 Exchange 2010 年。
直到現在,你真的只了兩個變通。 您可以將組織 Forms 資料夾刪除從層次結構 (這只是可能的如果你沒有主辦任何形式在那裡)。 您也可以讓用戶端的表單交換 2010年公用資料夾存儲不出去走走主辦他們對 Exchange 2007 公用資料夾存儲,如果可能的話。
幸運的是,經過幾個嘗試去接受一個 bug,交流持續工程固定根本的問題。 此修復程式描述在支援文檔中, "'80004005-501-4B9-560' 同步錯誤日誌 Outlook 同步問題資料夾中。"同時它也是一部分的 Exchange 2010 SP2 更新彙總套件。 之後,用戶端應停止看到這些錯誤,並且也應該能夠再次離線使用表單。 您應該注意這並不會修復可能會有的情況下,例如涉及離線通訊錄和其他人的任何其他同步問題。
活動的同步
**Q。**最近,我們已經有幾個有關的廣泛資源消耗我們的用戶端存取伺服器上的中斷。 我們發現 w3wp.exe 的實例會消耗大部分的可用資源。 可你揭示一些為什麼這可能發生的事嗎?
**答:**機會是你林上有一個或多個活動的同步設備。 最近,我們看到這種情況發生的更多實例。 幸運的是,確定這些設備是相對比較簡單,感謝我們的朋友日誌分析器。
基本上,你需要弄清這一的所有資訊都存儲在 IIS 日誌中寫入開箱即用。 預設情況下,如果您的系統磁片是 C:\,這些日誌存儲在 C:\inetpub\logs\LogFiles\W3SVC1 中。 當開放的任何這些日誌檔的資訊,您應該看到所有命中 Outlook Web Access,ActiveSync,Exchange Web 服務等等。
下載一份 Log Parser 2.2 和任一 Exchange 本身或任何管理伺服器上安裝它。 如果您使用管理伺服器,請確保 Windows PowerShell 2.0 也同時安裝。 此外下載一份 ActiveSyncReport 腳本 ,並把它帶到伺服器。
假設您要基於點擊頂部 10 個設備。 所有你需要做是運行:
\ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10
正如您看到的圖 2、 頂級玩家是設備具有多個是萬打。 這是明確了太多的點擊數,以及肯定認股權證進一步調查。
.jpg)
圖 2 ,您可以確定哪些設備具有最命中。
如何從特定日期前十大設備? 這很容易。 只是運行以下命令:
\ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10 –date 7-20-2012
在 ActiveSyncOutputFolder 中,你會得到很好的 HTML 輸出的查詢記錄。 有述交流團隊博客張貼內容,此腳本的某些其他使用情形 "腳本來解決 Exchange ActiveSync 的問題"。
.jpg)
.jpg)
Henrik Walther 是 Microsoft 認證的主控形狀:Exchange 2007,擁有超過 16 年的 IT 業務經驗交流 MVP。 他工作作為丹麥的微軟金牌合作夥伴的技術設計師和 Biblioso corp.的技術作者 (基於美國的公司,專門從事託管文檔編制和當地語系化的服務)。 他也是微軟承包供應商 (包括 Exchange 和 Lync 隊) 的各種產品團隊工作。
Georg Hinterhofer 是 Microsoft 認證的主控形狀:Exchange 2010 年。 他工作作為總理外地高級工程師,只側重于 Microsoft Exchange。 他基於奧地利,維也納附近。