Отсутствие Message Tracking Log Explorer в Exchange 2013

В Microsoft Exchange 2013 отсутствует ряд инструментов, которые присутствовали в Microsoft Exchange 2010. Одним из таких инструментов является Message Tracking Log Explorer.

В Exchange 2013 вы можете искать информацию по отдельным сообщениям в ECP -> mail flow -> delivery options, однако функционал мягко говоря очень и очень куцый. Все что сверх того, необходимо делать используя командлет Get-MessageTrackingLog в Exchange Management Shell. Результат правда не очень удобочитаемый.

msl_01

Get-MessageTrackingLog

 

Но поковырявшись в доках я нашел довольно-таки инструмент представляющий информацию в удобоваримом виде. Речь идет о командлете Out-GridView.

msl_02

Get-MessageTrackingLog | Out-GridView

 

Возможно использование Out-GridView и с любыми другими командлетами.

 

Ошибка репликации SYSVOL между контроллерами домена Windows 2012 R2

Недавно я заметил, что на некоторые компьютеры пользователей не накатываются групповые политики. В журнале событий на клиенте обнаружил ошибку 1058.

Зашел на DC, запустил dcdiag и увидел следующую картину

DFSR01

В журнале событий DFS Replication на контроллерах домена были обнаружены следующие события:

Просмотрев папку SYSVOL на всех контроллерах домена я заметил, что на одном из контроллеров домена количество групповых политик визуально меньше.

Помониторив доки далее, я пришел к выводу, что необходимо ручками толкнуть репликацию SYSVOL на контроллерах. Официальная статья на сайте Microsoft.

1. Логинимся на PDC

2. Останавливаем службу DFS Replication

2.1. Открывает оснастку Службы (services.msc)
DFSR02
2.2. Останавливаем службу DFS Replication

3. Открываем оснастку ADSI Edit (adsiedit.msc)

4. Открываем Контекст именования по умолчанию (Default naming context)

DFSR03
5. Переходим к свойству CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<сервер с которого будем реплицировать>,OU=Domain Controllers,DC=<ваш домен>

DFSR04
6. Изменяем следующие значения аттрибутов
6.1. msDFSR-Enabled=FALSE
6.2. msDFSR-options=1
DFSR05

DFSR06
7. На всех остальных контроллерах домена изменяем значение аттрибута msDFSR-Enabled на False

8. Производим принудительную репликацию в домене (необходимо убедиться, что нет ошибок)

9. Запускаем службу DFS Replcation на PDC
10. Возвращаемся в оснастку ADSI Edit (adsiedit.msc) и изменяем значение аттрибута msDFSR-Enabled на True
11. Выполняем комманду DFSRDIAG POLLAD (можно не выполнять, однако Microsoft рекомендует)
DFSR07
12. Принудительно производим репликацию на всех остальных контроллерах

13. На всех остальных контроллерах домена изменяем значение аттрибута msDFSR-Enabled на True
14. Выполняем комманду DFSRDIAG POLLAD на всех остальных контроллерах домена (можно не выполнять, однако Microsoft рекомендует)

Если все прошло успешно, то количество папок SYSVOL на ваших контроллерах домена будет содержать одинаковое количество политик и они будут успешно применяться

Выгрузка из AD lastlogon и борьба с WindowsTimeStamp

Поступила вводная от безопасников – выявить в AD пользователей с установленной галкой “Срок действия пароля не ограничен”. Ну как говорится – нет ничего проще – выгружаем пользователей в CSV

Но тут обращаю внимание на то, что дата отображается как-то невнятно “13021655851519878000”. Все попытки поиграться с форматом ячейки в Excel ни к чему не привели.
Взявшись за поисковик было выяснено, что в AD время храниться как количество 100-наносекундных интервалов, прошедших с 0 часов от 1 января 1601 года. Вряемя всегда хранится по Гринвичу. В данном формате храняться атрибуты LastLogon, LastLogonTimestamp и LastPwdSet.
А в Microsoft Excel для Windows хранение дат построено в виде последовательных чисел. При этом, наименьшей датой является 1 января 1900 года. Работать с датами, ниже этой границы невозможно!
Значение времени в Excel хранится в виде десятичной дроби, поскольку время – часть даты. Значения времени также можно прибавлять и отнимать, так как они представляют собой числа, а именно – пропорцию времени к 24 часам.
Итого получаем:

Хитрая цифра 11644473600 была найдена в документации Microsoft
А учитывая, что

Получаем

Подставляем вышеозначенное значение в формулу и получаем

Что соответствует 22.08.13 18:37

Скрип блокировки пользователя согласно утвержденной процедуре

Давным давно, когда деревья ещё были большими …. при увольнении (уходе в декрет) пользователя необходимо было ручками проделать кучу регламентных процедур, а именно:

1. Отключить почтовый ящик пользователя

2. Заблокировать учетную запись пользователя

3. Удалить пользователя из всех групп

4. Перенести учетную запись в AD из текущего структурного подразделения в специально для этого созданную OU  с характерным именем OU=Disabled Accounts,OU=Служебные группы,DC=domain,DC=ru, ну или в случае декрета в OU=Декрет,OU=Disabled Accounts,OU=Служебные группы,DC=domain,DC=ru.

5. Перенести пользовательскую папку “Мои документы” в архив.

Какое-то время это делалось вручную, но меня это совершенно не беспокоило … пока это делал другой человек. Но рано или поздно все хорошее заканчивается и “другой человек” покинул нас отправившись на поиски лучшей жизни. В результате чего обязанность по блокировке пользователей, согласно утвержденной процедуре снизошла на меня. Пару раз проделав все итерации, я понял, что столь высокоинтеллектуальное занятие меня не вдохновляет и мной был написан скрипт представленный ниже. Жить стало значительно проще и веселее.