[Exchange 2013] Migratie SBS met 2007 naar 2013

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 13:16:
[...]

In welke store?

Je moet even de oude certs exporteren inderdaad en in Exchange inlezen met:

code:

1	Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\padnaar\mailcert.pfx -Encoding byte -ReadCount 0))

Hierna kun je binnen exchange het certificaat toewijzen aan de verschillende services (ECP > Servers > Certificaten). Lukt dat?

arjants schreef op zaterdag 15 oktober 2016 @ 13:24:
Is het voor een snelle fix niet mogelijk om hiervoor een nieuw certificaat aan te vragen vanuit exchange?
Puur voor webmail.yellowonline.de bijvoorbeeld

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 13:25:
Die RapidSSL zou je moeten kunnen exporteren (doe het anders via IIS, daar zou hij ook tussen moeten staan, dan kan het via de GUI). De rest zijn toch self signed van je oude omgeving (en dus niet te gebruiken).

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 13:34:
[...]

Dat is vervelend inderdaad. Dan heeft iemand (je voorganger denk ik) gezegd dat het cert niet geëxporteerd mag worden. Dan moet je het origineel even hebben.

Of je vraagt er even snel wat aan bij Let's Encrypt. Dat kan geen wildcard zijn maar wel met zoveel altnames als je wilt (mail.bla.bla, autodiscover.bla.bla etc).

arjants schreef op zaterdag 15 oktober 2016 @ 13:35:
Kun je wel inloggen bij de RapidSSL ?
Dan zou je deze opnieuw aan kunnen vragen maar dan moet je wel weten waar deze overal in beruik is op dit moment en deze overal vernieuwen.

De orginele CSR staat ook niet meer op de SBS server?

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 13:43:
[...]


[...]

Nouja there's that. De renewals zijn wel te scripten maar automatisch in Exchange gooien doe ik nog elke 3 maanden zelf.

Wil je er 3 jaar niet meer naar omkijken zou ik een 'echte' kopen bij een SSL boer.

arjants schreef op zaterdag 15 oktober 2016 @ 13:45:
Voor een korte vergelijking: https://www.sslcertificaten.nl/SSLCertificaten#DV_Wildcard_3
Ongeveer 75,- per jaar voor een wildcard

[ Voor 6% gewijzigd door YellowOnline op 15-10-2016 13:46 ]

arjants schreef op zaterdag 15 oktober 2016 @ 13:49:
je zou op de SBS server nog een poging kunnen wagen via MMC -> add -> certificates
En dan in het computeraccount proberen om het wildcard certificaat te exporteren maar als deze echt is geïmporteerd zonder export mogelijkheid dan zit je best vast nu

De PEM etc zijn voor apache/openvpn servers geëxporteerd, misschien dat je die nog om kunt zetten naar PFX, nooit geprobeerd maar daar heb je volgens mij de CSR ook bij nodig

https://www.sslshopper.co...mon-openssl-commands.html

Je hebt alleen de onderstaande 3 bestanden tot je beschikking?

1. rapidssl.intermediate.2015.pem
2. wildcard.yellow.2015.nopass.key
3. wildcard.yellow.2015.nopass.pub

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 14:13:
Ik typ wel even iets moment.

Zo heb je in ieder geval 3 maanden om de klant een nieuw cert te laten kopen.

Installeer even een webserver (IIS) en forward poort 80 naar die bak. Maak één site aan met alle bindings waar je een certificaat voor wilt hebben. (mail.yellow.de, autodiscover.yellow.de, webmail.yellow.de etc.) Dit mogen gewoon poort 80 bindings zijn.

Zorg dat de IIS extensie loze filetypes ondersteund (op hoofd niveau even extensie * toevoegen als "text/plain" bij MIME types). Maak even een text file aan met wat inhoud en haal de .txt extensie weg. Test of je nu via het web bij die file kan. (Zo niet, op IIS hoofdniveau, ga naar handler mappings, klik rechts op "View ordered list" en zet "StaticFile" boven de 3 ExtensionlessUrlHandler entries.)

Nu kun je acmesharp powershell plugin downloaden. https://github.com/ebekker/ACMESharp/wiki/Quick-Start

code:

1	Import-Module ACMESharp

code:

1	Initialize-ACMEVault

code:

1	New-ACMERegistration -Contacts mailto:somebody@example.org -AcceptTos

Dit moet voor elk subdomain gebeuren.

code:

1	New-ACMEIdentifier -Dns myserver.example.com -Alias unieke_naam1

code:

1	Complete-ACMEChallenge unieke_naam1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = 'NaamVanWebsite' }

Kijk of het is gelukt
Update-ACMEIdentifier unieke_naam1

[...]


Als je dat voor elk subdomain hebt gedaan vragen we het cert aan.

code:

1	New-ACMECertificate unieke_naam1 -Generate -AlternativeIdentifierRefs unieke_naam2,unieke_naam3,unieke_naam4 -Alias multiMailCert

Kijk of het is gelukt. serienummer moet gevuld zijn.

code:

1	Update-ACMECertificate multiMailCert

Als alles goed ging kun je hem nu exporteren.

code:

1	Get-ACMECertificate multiMailCert -ExportPkcs12 "C:\path\to\multiMailCert.pfx" -CertificatePassword 'wachtwoord'

Deze kun je dan importeren in exchange met:

code:

1	Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\path\to\multiMailCert.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password

1

C:\Program Files (x86)\OpenSSL-Win32\bin>openssl pkcs12 -export -out C:\temp\certificate.pfx -inkey C:\Temp\wildcard.yellow.2015.nopass.key -in C:\temp\wildcard.yellow.2015.signed.pub -certfile c:\temp\rapidssl.intermediate.2015.pem

[ Voor 4% gewijzigd door YellowOnline op 15-10-2016 15:13 ]

wagenveld schreef op zaterdag 15 oktober 2016 @ 15:39:
Wellicht ten overvloede, maar zorg wel dat de coexistence goed wordt geconfigureerd voor de redirection enz: http://www.msexchange.org...nge-2007-2013-part14.html

chaoscontrol schreef op zaterdag 15 oktober 2016 @ 16:10:
[...]

Voor het nageslacht. Goed dat het is gelukt! Rest is niet veel werk meer als het goed is.

asing schreef op zaterdag 15 oktober 2016 @ 16:28:
[...]


Ik vind het knap en dapper van je . Serieus mijn respect. Zonder fatsoenlijke voorkennis toch maar van een SBS domein migreren naar een echt domein met een mail migratie erbij.

arjants schreef op zaterdag 15 oktober 2016 @ 16:50:
Congratz, de rest is nu goed te doen.
Gewoon netjes de stappen blijven volgen en daar kom je wel uit denk ik.

Huphup en naar huis straks

1
2
3
4
5

Client Frontend EXC2013
Client Proxy EXC2013
Default EXC2013
Default Frontend EXC2013
Outbound Proxy Frontend EXC2013

[ Voor 4% gewijzigd door YellowOnline op 15-10-2016 17:13 ]

arjants schreef op zaterdag 15 oktober 2016 @ 18:22:
Scant de sophos transparant de smtp?

[ Voor 36% gewijzigd door YellowOnline op 15-10-2016 18:57 ]

arjants schreef op zaterdag 15 oktober 2016 @ 18:57:
komt me bekend voor
Zat bij mij uiteindelijk in de security van de AD user.
Makkelijk te testen dmv een nieuwe testuser, heeft deze geen problemen maar bestaande users wel?

(overigens heb ik wel degelijk zicht op de échte Berlijnse Muur vanop mijn stoel Helaas is er nu een of andere rave parade bezig met bassen die mijn bureau doen opwippen...)

arjants schreef op zaterdag 15 oktober 2016 @ 19:18:
Staan de public folders al op de nieuwe exchange? Is alles nu over?

spone schreef op zaterdag 15 oktober 2016 @ 19:25:
Misschien beetje mosterd na de maaltijd, maar zelfs als een certificaat niet als exporteerbaar gemarkeerd is kan je het alsnog wel exporteren. Je hebt er alleen wat meer tools voor nodig. Tijdje terug ook moeten doen en er meteen maar een post over gemaakt: https://www.sysads.nl/201...n-exportable-certificate/

arjants schreef op zaterdag 15 oktober 2016 @ 19:26:
Zodra outlook deze wil openen op de oude server hou je de meldingen op de client.

[edit]
Overzetten van PF gaat niet zo hard

[ Voor 39% gewijzigd door YellowOnline op 15-10-2016 19:38 ]

arjants schreef op zaterdag 15 oktober 2016 @ 19:58:
Eerst ff kijken of alles goed staat, ook op je sophos: https://testconnectivity.microsoft.com

wagenveld schreef op zaterdag 15 oktober 2016 @ 20:25:
Zorg in eerste plaats voor dat je SSL en auth settings in 2007 en 2013 exact gelijk zijn voor OA.

Get-OutlookAnywhere | fl *auth*

[ Voor 14% gewijzigd door YellowOnline op 15-10-2016 20:34 ]

wagenveld schreef op zaterdag 15 oktober 2016 @ 20:35:
Iisreset /noforce gedaan?

[ Voor 28% gewijzigd door YellowOnline op 15-10-2016 20:45 ]

wagenveld schreef op zaterdag 15 oktober 2016 @ 20:50:
Je hoort geen prompt te krijgen, ook niet bij de eerste keer. Die iisreset is normaal, even wachten en opnieuw proberen. Maar een restart doet hetzelfde idd.
In IIS, controleer ook even de auth provider volgorde op de autodiscover en oa vdirs. NTLM moet daar bovenaan. Zie oa: http://blog.techtalklive....010-2013-Coexistence.aspx halverwege.

1
2
3

Set-OutlookProvider EXPR -CertPrincipalName msstd:(your external host name)

Set-OutlookProvider EXCH -CertPrincipalName msstd:(your external host name)

[ Voor 17% gewijzigd door YellowOnline op 16-10-2016 08:26 ]

wagenveld schreef op zondag 16 oktober 2016 @ 10:37:
Had je daar nou een reverse proxy tussen of niet? Wat is dat precies?
https://testconnectivity.microsoft.com/ even posten?

Testing Outlook connectivity.
The Outlook connectivity test failed.

Additional Details

Elapsed Time: 2702 ms.

Test Steps

Testing RPC over HTTP connectivity to server mail.yellow.de
RPC over HTTP connectivity failed.

Additional Details

HTTP Response Headers:
request-id: ff220c0d-aa0d-4adf-b1ed-aa917aecffe2
Server: Microsoft-IIS/8.5
WWW-Authenticate: NTLM,Basic realm="mail.yellow.de"
X-Powered-By: ASP.NET
X-FEServer: DM00P04F
Date: Sun, 16 Oct 2016 08:41:17 GMT
Content-Length: 0
Elapsed Time: 2702 ms.

Test Steps

Attempting to resolve the host name mail.yellow.de in DNS.
The host name resolved successfully.

Additional Details

IP addresses returned: xxxxxxxx
Elapsed Time: 349 ms.
Testing TCP port 443 on host mail.yellow.de to ensure it's listening and open.
The port was opened successfully.

Additional Details

Elapsed Time: 312 ms.
Testing the SSL certificate to make sure it's valid.
The certificate passed all validation requirements.

Additional Details

Elapsed Time: 455 ms.

Test Steps

The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server mail.yellow.de on port 443.
The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate.

Additional Details

Remote Certificate Subject: CN=*.yellow.de, OU=Domain Control Validated - RapidSSL(R), OU=See www.rapidssl.com/resources/cps (c)15, OU=GT22774325, Issuer: CN=RapidSSL SHA256 CA - G3, O=GeoTrust Inc., C=US.
Elapsed Time: 414 ms.
Validating the certificate name.
The certificate name was validated successfully.

Additional Details

The host name that was found, mail.yellow.de, is a wildcard certificate match for common name *.yellow.de.
Elapsed Time: 0 ms.
Certificate trust is being validated.
The certificate is trusted and all certificates are present in the chain.

Test Steps

The Microsoft Connectivity Analyzer is attempting to build certificate chains for certificate CN=*.yellow.de, OU=Domain Control Validated - RapidSSL(R), OU=See www.rapidssl.com/resources/cps (c)15, OU=GT22774325.
One or more certificate chains were constructed successfully.

Additional Details

A total of 1 chains were built. The highest quality chain ends in root certificate CN=GeoTrust Global CA, O=GeoTrust Inc., C=US.
Elapsed Time: 12 ms.
Analyzing the certificate chains for compatibility problems with versions of Windows.
Potential compatibility problems were identified with some versions of Windows.

Additional Details

The Microsoft Connectivity Analyzer can only validate the certificate chain using the Root Certificate Update functionality from Windows Update. Your certificate may not be trusted on Windows if the "Update Root Certificates" feature isn't enabled.
Elapsed Time: 1 ms.
Testing the certificate date to confirm the certificate is valid.
Date validation passed. The certificate hasn't expired.

Additional Details

The certificate is valid. NotBefore = 8/16/2015 11:43:53 AM, NotAfter = 9/16/2017 12:11:15 PM
Elapsed Time: 0 ms.
Checking the IIS configuration for client certificate authentication.
Client certificate authentication wasn't detected.

Additional Details

Accept/Require Client Certificates isn't configured.
Elapsed Time: 543 ms.
Testing HTTP Authentication Methods for URL https://mail.yellow.de/rpc/rpcproxy.dll?mail.yellow.de:6002.
The HTTP authentication methods are correct.

Additional Details

The Microsoft Connectivity Analyzer found all expected authentication methods and no disallowed methods. Methods found: Basic, NTLM
HTTP Response Headers:
request-id: ff220c0d-aa0d-4adf-b1ed-aa917aecffe2
Server: Microsoft-IIS/8.5
WWW-Authenticate: NTLM,Basic realm="mail.yellow.de"
X-Powered-By: ASP.NET
X-FEServer: DM00P04F
Date: Sun, 16 Oct 2016 08:41:17 GMT
Content-Length: 0
Elapsed Time: 381 ms.
Attempting to ping RPC proxy mail.yellow.de.
RPC Proxy can't be pinged.

Additional Details

An unexpected network-level exception was encountered. Exception details:
Message: The remote server returned an error: (404) Not Found.
Type: Microsoft.Exchange.Tools.ExRca.Extensions.MapiTransportException
Stack trace:
at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)
at Microsoft.Exchange.Tools.ExRca.Tests.MapiPingProxyTest.PerformTestReally()
Exception details:
Message: The remote server returned an error: (404) Not Found.
Type: System.Net.WebException
Stack trace:
at System.Net.HttpWebRequest.GetResponse()
at RpcPingLib.RpcPing.PingProxy(String internalServerFqdn, String endpoint)
at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)
Elapsed Time: 659 ms.

[ Voor 4% gewijzigd door YellowOnline op 16-10-2016 11:03 ]

wagenveld schreef op zondag 16 oktober 2016 @ 11:04:
En die UTM heb je nu geconfigureerd naar 2013? En is die appliance een beetje up to date?

arjants schreef op zondag 16 oktober 2016 @ 11:33:
Staan er alleen NAT regels op de sophos of ook is er ook webserver protection geconfigureerd?
Dan kan het zijn dat je nog wat aan moet passen namelijk

[afbeelding]

1
2
3
4

[16.10.2016 15:37:01] Reading public folder list...
[16.10.2016 15:37:01] Loading folder hierarchy...
[16.10.2016 15:37:01] The size of the folder @{FolderName=\IPM_SUBTREE\Bla\Blablabla; FolderSize=1193018574} (1193018574) is greater than the mailbox size 1073741824
[16.10.2016 15:37:01] Unable to load public folders...

[ Voor 30% gewijzigd door YellowOnline op 16-10-2016 19:00 ]

jvdb1975 schreef op zondag 16 oktober 2016 @ 19:54:
Dat is een lang weekend geweest voor je! Migratie inmiddels compleet?

Terzijde, ik snak naar vers eten. Ik heb enkel fastfood gegeten sinds vrijdagavond. En ik wou 20 kg verliezen

[ Voor 24% gewijzigd door YellowOnline op 16-10-2016 20:34 ]

arjants schreef op zondag 16 oktober 2016 @ 21:38:
Of je sophos webserver protection eens goed bekijken
ftp://smart.rs/Sophos%20U...209.2%20-%20draft%202.pdf

asing schreef op zondag 16 oktober 2016 @ 21:00:
[...]


Die staat inderdaad open.

https://theucguy.net/turn...ess-to-exchange-2013-eac/

Misschien helpt dat.

1
2

Get-Mailbox -PublicFolder | Set-Mailbox -PublicFolder -IsExcludedFromServingHierarchy $false
Set-OrganizationConfig -PublicFolderMigrationComplete:$true

[ Voor 22% gewijzigd door YellowOnline op 17-10-2016 08:05 ]

jvdb1975 schreef op zondag 16 oktober 2016 @ 23:33:
Is dan ook mssql etc klaar, of staat dat ook nog op je lijst?

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[dump old DB in Windows]
mysqldump --databases DB1 DB2 DB3 > "D:\blabla\backup\blabla"%date:~0,2%".sql" -u root -pXXX
[restore DB in unix]
cat /tmp/blablaX.sql | sed 's/ROW_FORMAT=FIXED//g' | mysql -u root --password=XXX
[connect]
mysql -h localhost -u root -pXXX 
[Use the proper DB]
USE mysql
[update user table compability from 5.6 to 5.7]
UPDATE user SET plugin='mysql_native-password';
[lower password policy]
SET GLOBAL validate_password_policy=LOW;
[grant all to root]
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'XXX' with grant option;

Zo, alweer op post, en die Public Folder migratie hangt nog steeds op 95%

[ Voor 32% gewijzigd door YellowOnline op 17-10-2016 08:54 ]

asing schreef op maandag 17 oktober 2016 @ 08:55:
[...]


Ondanks dat het een minor releasee lijkt, moet je voor 2016 toch weer nieuwe servers optuigen en migreren. De stap 2007-2016 is ook niet mogelijk.

asing schreef op zondag 16 oktober 2016 @ 21:00:
[...]


Die staat inderdaad open.

https://theucguy.net/turn...ess-to-exchange-2013-eac/

Misschien helpt dat.

[ Voor 31% gewijzigd door YellowOnline op 17-10-2016 09:09 ]

chaoscontrol schreef op maandag 17 oktober 2016 @ 09:50:
Mooi dat het is gelukt! Wat een bevalling hè. Nu vrij?

Jazzy schreef op maandag 17 oktober 2016 @ 10:31:
Jemig wat een verhaal zeg! Vraag me alleen af waarom dit allemaal in een weekend gepropt moest worden. Op één of twee korte momenten na had je de hele migratie gewoon op je eigen tempo kunnen uitvoeren tijdens kantooruren. Zaken als een niet-exporteerbaar certificaat had je dan rustig op kunnen lossen en client access pas over hoeven schakelen nadat de configuratie van de Exchange 2013 server klaar was.

Voor jou is dit nu mosterd na de maaltijd en ik wil geen zout in de wond strooien, maar hoop dat anderen hier nog wat uit kunnen leren. De momenten waarop je even alert moet zijn op impact zijn:

- Daadwerkelijke installatie van Exchange 2013. Als je geen deployment-site kunt creëren in AD (kost je een al dan niet tijdelijke domain controller) dan moet je dit buiten kantooruren doen en direct na de installatie het SCP (AutoDiscoverServiceInternalUri) aanpassen en de urls goed zetten. Anders kunnen de clients even een certificaatmelding krijgen.
- Aanpassen van het DNS record zodat nieuwe client access verbindingen naar Exchange 2013 gaan en geproxied worden naar Exchange 2007.
- Cut-over van de PF migratie

Maar goed, ben blij voor je dat het allemaal gelukt is uiteindelijk.

[...]
Het proces is wel een heel stuk eenvoudiger gelukkig. Exchange 2016 en 2013 zijn qua architectuur bijna identiek, het is dus net alsof je de ene server door een andere vervangt. Exchange 2013 kan zelfs client connecties doorsturen naar Exchange 2016 dus je mag zelf weten wanneer je DNS overzet.

[ Voor 6% gewijzigd door YellowOnline op 17-10-2016 11:26 ]

[ Voor 28% gewijzigd door YellowOnline op 17-10-2016 20:56 ]

[ Voor 33% gewijzigd door YellowOnline op 18-10-2016 15:18 ]

Jazzy schreef op dinsdag 18 oktober 2016 @ 16:14:
[...]
Voor de volgende keer: http://jetzemellema.blogs...rience-even-more-fun.html (laatste regel)

offtopic:
"Subscribe to: Post Comments (Atom)"?

[ Voor 4% gewijzigd door YellowOnline op 18-10-2016 16:25 ]

[ Voor 36% gewijzigd door YellowOnline op 18-10-2016 20:40 ]

_Arthur schreef op dinsdag 18 oktober 2016 @ 21:23:
[...]

Gaat je ook niet lukken: de SBS server wil de baas spelen.

http://serverfault.com/qu...008-to-be-a-member-server