На ровном месте возникла проблема.

Коротко: Когда Outlook (разные версии) через LDAP запрашивает у Windows 2003 сервера (AD) список почтовых адресов, выводится только список пользователей, групповые адреса (Distribution Groups, Security Groups, имеющие почтовый адрес) не видны. В тоже время при том же запросе с Windows 2000 сервера (DC в том же домейне) видно все - и пользователи и группы. Как вытащить список групповых адресов из Windows 2003 сервера?

Развернуто: Жил-был домен Windows 2000. Почта на Linux (Exim), клиенты пользуются Outlook c IMAP. Почтовые адреса вытаскивались с AD через LDAP, видны были и пользватели и группы, имеющие почтовый адрес.
Теперь пришел приказ переходить на Exchange (естественно, 2007). Тут требуется, чтобы все DC были 2003 серверы (домен и лес на уровне 2000 Native или 2003 Native). Пришлось по очереди апгрейдить сервера с 2000 на 2003. И тут вылезла бяка. В смешанном домене (где есть и 2000 и 2003 сервера), если Outlook запрашивает лист адресов с 2000 сервера, все ОК, видны и пользователи и группы. Но если запрос делать с 2003 сервера, то видны только пользватели, групп не видно. То есть, проблема тут явно не в AD (ведь сервер 2000 показывет все нормально) а в том, как 2003 сервер обрабатывает LDAP запрос. Явно как то иначе - запрос ведь тот же (дефолт у Outlook). После апгрейда последнего 2000 DC в домене, у людей пропадут в Outlooke адреса групп. Стало быть, нужно как то вытащить их из 2003 сервера.

Гуглил немало, но нашел весма мало толковой информации. Все либо связано с Exchange, либо общие разговоры, либо безответные запросы в такой же ситуации (например тут). Причем эта проблема втречалась как без Exchange так и с ним. Что меня и тревожит, так как теперь нет никакой уверенности, что при наличии Exchange эти группы появятся. То есть, мне кажется, что эту проблему (отсутствие групп в ответах на LDAP запросы) нужн решать до запуска Exchange.

:help:

если есть возможность поиграться, то я-бы посоветовал следующее - взять один DC, выдернуть из сети, поставить на него exchange и посмотреть что получится. Появятся группы - хорошо. Нет - вернуть всё как было и думать дальше.

бррр... получаешь новый сервер, ставишь его мембером, на него сливается вся AD. Отключаешь от сети и сокойно ставишь на него exchange. Он честно должен встать, ибо у тебя сервер будет одиноким контроллером домена и ничего ему не указ. Проверяешь работу групп. Если все ОК, то спокойно форматируешь новый сервак и ставишь 2003 мембером в сеть снова. А если всё плохо, то продолжаешь играть.
Какие проблемы?

P.S. Зачем убивать 2000-е для Native 2000 я тоже не понимаю. Другое дело, что 2000-е винды уже отжили свою и их таки по-любому пора апгрейдить. Вот только у меня у самого до сих пор домен на 2000-х. :)

Очередная коза, еще более суровая. Exchange 2007 (да и вся 2003 AD) жизненно зависят от DNS. Прчем это активный DNS - контроллеры (да и мемберы) домейна активно на лету пишут туда свои записи. Оказывется, беда возникла уже начиная с Windows 2000 Server SP4 - в DNS домейне из одного слова (например mydomain, а у меня как раз такой случай) проблемы с активной записью в DNS (отсюда и кучи ошибок в EventLog - правда, микрософт пишет, что в таком случае их можно игнорировать, DNS ведь работает). Тут нужно учесть, что по умолчанию имя DNS домейна совпадает с NETBIOS именем с домейна (тот же mydomain). Есть метода разрешить DNS записи и в такие домены, НО, Exchange 2007 в принципе не будет работать в случае "single label" DNS домейна. Таким образом, чтобы посадить в наш домейн Exchange 2007, у меня два пути:

1. Изменить имя DNS домейна (добавив туда суффикс), например, на mydomain.myorg, НЕ меняя NETBIOS имени (остается mydomain) - так называемый "disjoint namespace". И, Exchange 2007 такое (по бумагам для трех разных сценариев) поддерживает, главное, чтобы DNS домейн не был "single label". Процедура с виду несложная, только неясно, как поведут себя DNS серверы на контроллерах и мембер компутеры. Тут можно попутно домейн наглухо повесить (например, если новый DNS сразу не заработает).

2. Изменить NETBIOS имя домейна на mydomain.myorg (2003 домейн это позволяет). Тут уже автоматом DNS и NETBIOS имена будут совпадать, никакого "disjoint namespace". Но уже беглое знакомство с описанием сей процедуры (например, там нужен дополнительный 2003 сервер, НЕ контроллер, который следит за процедурой), и подготовки к оной (к тому же включающей большую часть пункта 1. выше), привело к грустным выводам. Тут уже точно придется домейн на какое то время повесить, да и не все еще ясно с мембер компутерами.

Вот и выбираю между двумя процедурами. Нет полной уверенности, что более простая процедура "disjoint namespace" спасет отца руссой демократии. К тому же ради благополучия будущего Exchange 2007 можно пойти и на переименование домейна (оставив оба namespace одинаковыми, для Exchange это явно лучше).

Никто не имеет опыта с подобными процедурами? :help: Беда у меня еще и в том, что процедуры придется длать сразу "вживую", на работающем домейне. Строить "тренировочные" домейны нет ни сил ни времени.

А теперь отведу душу. :fu: Чем этим казалам из M$ помешали "single label" домейны? :fu: Это же внутренний домейн, не видный снаружи! Я понимаю, что во внешнем домейне это не пойдет, никто мне такого домейна и не зарегистрирует, но чем мешают внутренние домейны??? Или этот новый DNS сервер не различет внутренние и внешние домейны? Или эти казлы хотят, чтобы я свой Windows домейн строил на открытой сети :w00t: и регистрировал свой DNS домейн у них? :fear2:

RFC по email почитай. Там явно и недвусмысленно написано - после собаки - нормальный домен. С точкой. То есть НЕ single label. Именно поэтому Exchange и не работает с single label. Ибо это нарушение RFC. A сама винда работает. Ей таки действительно пофик.

Кстати, если уж говорить о казлах, то хочется спросить зачем надо было изначально делать single label? Ну ведь понятьно-же, что это не стандарт. Что мешало изначально сделать нормальный внутренний домен, удовлетворяющий всем требованиям нормального интернет-домена? Ну, кроме желания поиметь массу гемороая в будущем...

мой тебе совет- использовать доменное имя то, которое зарегено в "большом интернете". А потом в DNS'e уже разруливать что видно снаружи, а что нет, чтоб внутренние адреса снаружи не светились. Так оно проще будет и не должно быть мучительно больно.

А в целом, не люблю я эксчейнджа. Именно за то и не люблю, что он весь AD под себя переделывает. И требует чего-то, что его по сути касаться не должно.

Что-то ты там с DNS-aми мудришь не в ту сторону. Вполне обычное решение на www.mydomain.com выдавать разные адреса в зависимости от того, откуда пришел запрос. Да и с дубляжом не ясно... зачем дублировать? Поставить в dmz кеширующий сервер, который за твоей зоной будет лазать к тебе в AD и всё. А ты к нему за внешними хостами наружу. Primary для твоей зоны будет в AD. В описании зоны прописан тот, который в DMZ. Ну в общем, всё вроде должно быть просто и понятно...

QUOTE (FiL @ 15-02-2008, 00:07)

Что-то ты там с DNS-aми мудришь не в ту сторону. Вполне обычное решение на www.mydomain.com выдавать разные адреса в зависимости от того, откуда пришел запрос.

Это просто, если на DNS сервере(ах) две разные зоны - одна открытая интернет для запросов снаружи, вторая окрытая во внутреннюю сеть, для запросов из внутренней сети. И обе зоны master - внутренняя потому как это нужно для работы AD, внешняя потому как мастер официально зарегистрированного домена.

QUOTE

Да и с дубляжом не ясно... зачем дублировать? Поставить в dmz кеширующий сервер, который за твоей зоной будет лазать к тебе в AD и всё. А ты к нему за внешними хостами наружу. Primary для твоей зоны будет в AD. В описании зоны прописан тот, который в DMZ. Ну в общем, всё вроде должно быть просто и понятно...

Если этот кеширующий сервер будет обслуживать внешних клиентов и лазить за моей зоной mydomain.com внутрь в AD, то все мои внутренние IP-адреса буду открыты для публичного обозрения. То есть, мне однозначно нужно иметь две разные зоны - одну для внешнего DNS и другую для внутреннего пользвания, недоступную снаружи.

Кстати, http://forums.msexchange.org/m_1800436336/mpage_1/key_/tm.htm#1800436336тут[/URL] рассмотрены три возможных решения для внутренней зоны - mydomain.com, subdomain.mydomain.com, mydomain.internal. Там же и куча ссылок. И глваная проблема первого решения именно необходимость дублирования (по крайней мере части) записей внешней зоны во внутреннюю. Плюс возможные конфликты DNS. Пока наиболее симпатичным кажется второе решение.

Или про дублирование ты имел в в виду, зачем дублировать серверы (один для запросов снаружи, второй для запросов изнутри)? Секюрити. http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.htmlТут[/URL] это подробно описано. Без меня люди додумались, это еще покруче, чем я раньше написал.

ЗЫ. Ссылки почему-то отображаются некорректно :(

QUOTE (valja @ 15-02-2008, 12:28)

Если этот кеширующий сервер будет обслуживать внешних клиентов и лазить за моей зоной mydomain.com внутрь в AD, то все мои внутренние IP-адреса буду открыты для публичного обозрения. То есть, мне однозначно нужно иметь две разные зоны - одну для внешнего DNS и другую для внутреннего пользвания, недоступную снаружи.

нет. не обязательно. Я сейчас не могу подробнее расписать, у меня времени нет, через 3 минуты уезжаю. Но можно на одну зону разным клиентам разные адреса выдавать.

QUOTE (FiL @ 15-02-2008, 20:42)

нет. не обязательно. Я сейчас не могу подробнее расписать, у меня времени нет, через 3 минуты уезжаю. Но можно на одну зону разным клиентам разные адреса выдавать.

Я такого не встречал. Две разные зоны - понятно (я аж экспериментально проверил - сервер внуть и наружу разные адреса кажет). Наверное, с одной зоной это какая то продвинутая опция. Надо будет мануал bind перечитать.

QUOTE

через 3 минуты уезжаю.

Как я понимаю, в отпуск. Желаю хорошо отдохуть! А мне не то что отдых, даже маленькая отдушина еще не скоро светит - когда переименую домен вместе с DNS, самый труд только начнется - поставить Exchange 2007 и перетащить туда старые ящики с Линукса.

И спасибо за ответы - сильно помогли.

Докладаю. Переименование домейна и DNS namespace удалось сделать :punk: (правда, с некоторыми заморочками), с простого mydomain на name.mydomain.xxx (mydomain.xxx зарегистрирован и у меня там свой DNS). Завтра на свежую голову просмотрю логи и буду чинить замеченные неполадки. Но главное сделано - домейн переименован и работает :punk:

горячие поздравления из Аргентины :)

Ну вот, и года не прошло. В самом конце прошлой недели наконец получил фирменный диск Exchange 2007 с ключами, на уикенде сделал последние дополнения к AD (как я понимаю, они есть только на инсталляхе Exchange 2007), а на этой неделе собрался с силами и инсталлировал это чудо. Все прошло на удивление гладко, без никаких ерроров и ворнингов. Кстати, группы в менеджере ексчейнджа появились - они там отдельно от юзеров. И видно только Universal группы, где есть по крайней мере один член группы.

Сегодня стал подгонять конфигурацию. Для начала сделал в домене тест-юзера с почтовым ящиком "как у всех", послал ему (и от него) несколько мейлов итд. Цель - первым добавить его к списку почтовых ящиков ексчейнджа, затем переконфигурировать его Outlook для Exchange - то есть, посмотреть, как все будет выглядеть, как перетаскивать старый ящик итд. Не экспериметировать же с "живым" юзером :) Но не тут то было :fu: Менеджер Ексчейнджа заорал, что мол,
"Error:
The Exchange server address list service failed to respond. This could be because of an address list or email address policy configuration error."
Ладно, полез проверять "address policy", гляжу, не работает (то есть, policy есть, но не активен). При попытке его активировать - точно та же ошибка, при попытке создать новый - то же самое.

Облазил весь интернет :), народа с той же ошибкой не слишком много, нашел пару советов - но без толку - у меня там уже все правильно стояло. В общем, весь день бился головой ап стенку, в конце концов плюнул и уехал домой.

Дома не вытерпел, полез в Гугель, и практически первая ссылка в поиске такая - link. Все посты точно про мои страдания, все посланы сегодня, после конца нашего рабочего дня (скорее всего дело в том, что у американцев наступило утро :) ). И, voila, вот оно, решение :punk: Оказывается, нужно просто изменить дату на сервере!. Сегодня, понимаете ли, 29е февраля, а в такой день енти функции и не работают (фича, наверное, у ексчейнджа, такая). Жду, когда у МСофта появится официальное подтверждение бага. Мать моя женщина! :fu: Я весь день долбил лбом стену, заработал несколько седых волос, :fu: а, оказывается, 29.февраля ексчейндж крутить и нельзя! :actu:

Ладно, я просто лбом ап стену бился и просматривал установки (кстати, много полезного за это время узнал), а если почитать тот топик, то там ребята аж снимали апдейты с сервера и даже переинсталлировали есчейндж (естественно, с тем же результатом :-p ).

класс!

да ктож по пятницам-то exchange конфигурит :40%: да ешщё и 29-го февраля :lol:

QUOTE (visitor @ 29-02-2008, 21:33)

да ктож по пятницам-то exchange конфигурит :40%: да ешщё и 29-го февраля :lol:

Дык, по планам мне к концу февраля надо было запустить ексчейндж. Вот я и собирался с тестовго Ексчейнч аккаунта послать мейл шефам, мол смотрите, фурычит! :rolleyes: А тут такая фича прорезалась :D:

Но, по крайней мере теперь веселее стало, завтра утром рвану в деревню заряжать на природе батарейки :cool: