policy

All posts tagged policy

Exchange 2010 Beta: Client Throttling

Met Exchange 2010 Beta wordt client throttling geintroduceerd. Met client throttling wordt het mogelijk om per gebruiker bandbreed limieten in te stellen. Naast dit zorgt deze feature ervoor dat je in de gaten kunt houden welke resources een gebruiker allemaal verbruikt.

Naast de default policy is het mogelijk additionele policies aan te maken waarmee je dus voor bepaalde groepen gebruikers andere instellingen kunt instellen. Client throttling kan alleen beheerd worden d.m.v.  Powershell:

  • get-throttlingpolicy, geeft een overzicht van de throttling policies
  • new-throttlingpolicy, maak een nieuwe throttling policy aan
  • set-throttlingpolicy, past een huidige throttling policy aan
  • remove-throttlingpolicy, verwijdert een throttling policy

De parameters die gebruikt kunnen worden i.c.m. de Powershell commando’s zijn:

  • MaxConcurrency, hoeveel connecties mag een gebruiker maximaal opzetten
  • PercentTimeInCAS, welk percentage van een minuut mag gebruikt worden om een CAS commando uit te voeren
  • PercentTimeInAD, welk percentage van een minuut mag gebruikt worden om een LDAP request uit te voeren
  • PercentTimeInMailboxRPC, welk percentage van een minuut mag gebruikt worden RPC requests te sturen naar de mailbox
  • CPUStartPercent, bij welk CPU verbruik percentage moet throttling toegepast gaan worden
  • PowerShellMaxConcurrency, hoeveel remote Powershell commando’s mogen er tegelijk uitgevoerd worden
  • PowerShellMaxCmdlets, hoeveel Powershell commando’s mogen er in een bepaald tijd-frame uitgevoerd worden zonder dat er throttling wordt toegepast
  • PowerShellMaxCmdletsTimePeriod, hiermee wordt het tijd-frame, in seconden, ingesteld
  • PowerShellMaxCmdletQueueDepth, het aantal Powershell taken wat een gebruiker mag uitvoeren, een Powershell commando kan er voor zorgen dat er meerdere taken uitgevoerd worden. Het advies is deze waarde 3 keer zo groot te maken als de waarde die men insteld bij PowershellMaxConcurrency

De instellingen die ingesteld worden met de throttling policy worden toegepast op de volgende Exchange componenten:

  • Microsoft Exchange ActiveSync 
  • Exchange Web Services
  • IMAP
  • Outlook Web Access
  • POP
  • PowerShell
  • Unified Messaging (UM)

Voor meer informatie kun je terecht op onderstaande pagina’s:

Understanding Client Throttling
get-throttlingpolicy
set-throttlingpolicy
new-throttlingpolicy
remove-throttlingpolicy

Onbekende interne domeinen blokkeren met Trend Micro IMSS

Misschien heb je het wel eens gezien mails vanaf onbekende domeinen worden gerelayed via een interne mailserver of via een mailserver in de DMZ. Normaliter worden deze mailservers zo geconfigureerd dat het niet mogelijk is om mail te versturen voor een domein welke niet gehost wordt op de interne mailserver. Maar ook een virus op een server welke toegestaan is om te relayen kan dit probleem veroorzaken.

In deze tutorial leg ik uit hoe je Trend Micro IMSS kunt configureren om dit te voorkomen. Ik geef toe dat de manier van configureren niet helemaal netjes is maar de uiteindelijke oplossing werkt goed.

open

Misschien heb je het wel eens gezien mails vanaf onbekende domeinen worden gerelayed via een interne mailserver of via een mailserver in de DMZ. Normaliter worden deze mailservers zo geconfigureerd dat het niet mogelijk is om mail te versturen voor een domein welke niet gehost wordt op de interne mailserver. Maar ook een virus op een server welke toegestaan is om te relayen kan dit probleem veroorzaken.

In deze tutorial leg ik uit hoe je Trend Micro IMSS kunt configureren om dit te voorkomen. Ik geef toe dat de manier van configureren niet helemaal netjes is maar de uiteindelijke oplossing werkt goed.

Als eerst maken we een rule aan voor incoming verkeer.

Selecteer hiervoor de knop add en kies vervolgens de optie other.

Zorg dat this rule will apply to op incoming staat, dit zullen we later aanpassen naar both incoming and outgoing messages. We kunnen dit echter niet gelijk selecteren omdat de policy dan niet correct aangemaakt kan worden.

Klik vervolgens op de link recipients er zal dan een nieuw venster geopend worden.

Selecteer hier de optie anyone en klik op save, het venster wordt nu afgesloten. Klik nu op senders er zal wederom een nieuw venster geopend worden.

Selecteer hier ook de optie anyone en klik op save, de laatste parameter die voor de eerste stap opgegeven moet worden zijn de exceptions.

Vul hier de volgende exception in:

Voeg voor elk domein een exception toe.

Klik hierna op save om de wijzigingen op te slaan, hierna zul je onderstaand overzicht te zien krijgen

Klik op next om naar de volgende stap te gaan. In deze stap gaan we de condities instellen wanneer een mail gescand moet worden door deze policy.

Aangezien we alle berichten willen scannen vullen we hier niets in en drukken op next

Je krijgt nu een waarschuwing te zien dat alle berichten zullen worden gescand indien er geen scan conditie wordt opgegeven. Bevestig dit door op OK te klikken.

De volgende stap is het instellen van de actie die uitgevoerd dient te worden als een mail aan alle voorwaarden voldoet. In dit geval kiezen we ervoor om alle mailtjes die voldoen aan de voorwaarden worden verwijderd. Je zou er echter voor kunnen kiezen  om deze in quarantaine te plaatsten, indien je dit wil pas de de actie aan.

Vervolgens dienen we een naam in te stellen en het policy nummer. Hier kun je in principe instellen wat je wil let wel echter dat je de policy altijd onder de Global Antivirus Rule en Default Spam Rule zet. Eventueel kun je er voor kiezen om de policy nog niet te activeren maar pas te activeren nadat de onderstaande stappen zijn uitgevoerd.

Wanneer je nu teruggaat naar het policy overzicht zie je dat de nieuwe policy netjes is toegevoegd.

Nu we de policy hebben aangemaakt gaan we hem aanpassen. Het is namelijk niet mogelijk om *@* als afzender/ontvanger in deze policy op te geven wanneer deze policy zouden worden toegepast op both incoming and outgoing messages.

Klik op de policy om de details van de policy te zien.

Klik vervolgens op if recipient and senders are

Pas nu this rule will apply to aan naar both incoming and outgoing messages. Vervolgens dienen we de exceptions aan te passen. Dit kan door op de link Senders and Recipients achter het item exceptions te klikken.

Vul hier de volgende exception in:

Voeg voor elke domein deze regel toe, klik nu 4x op save om de policy op te slaan en terug te keren naar het policy overzicht. Indien de policy nog niet is geactiveerd zet deze dan nu aan.

In Exchange 2007 zitten diverse features voor mailbox retentie:

  • Managed Default Folders
  • Managed Custom Folders
  • Managed Folder Mailbox Policies

Ik moet wel even van te voren melden dat niet alle features werken alle Outlook versies, zo worden bepaalde features worden alleen ondersteund door Outlook 2003 SP2 en sommige zelfs alleen door Outlook 2007. Voor een volledig overzicht kun je kijken op de deze site.

Als eerst de tab Managed Default Folders, op het eerste gezicht zou je zeggen dat dit de standaard mappen zijn die een gebruiker in zijn mailbox krijgt. In dit geval is dit niet zo, dit is slechts een parameter waarmee instellingen gedaan kunnen worden op de standaard Outlook mappen (inbox, outbox, send items, etc). Zo is het mogelijk om bijvoorbeeld een tweede inbox toe te voegen aan de Managed Default Folders alleen dan met een langere retentie tijd.

Vroeger kon je via de Recipient Policies instellen wanneer een mailbox items uit bijvoorbeeld de verwijderde items automatisch opgeschoond moesten worden. Met alle nieuwe wetgevingen (vooral in Amerika) is het soms nodig mailtjes langer te bewaren. Je kunt het natuurlijk allemaal handmatig doen maar zou het niet makkelijk zijn als Exchange dit automatisch deed? Met de Managed Content Settings kun je het e.e.a. regelen zo is het mogelijk om:

  • items na de ingestelde bewaartijd te plaatsen in deleted items
  • items te verplaatsen naar een map die is aangemaakt als Managed Custom Folders
  • items verwijderen maar met behoudt tot terughalen
  • items permanent verwijderen
  • items markeren als retentie tijd verlopen

Maar hoe stellen we dit precies in, eigenlijk redelijk makkelijk je klikt met je rechter muisknop op de map of kiezen voor de map entire mailbox wanneer we een instelling willen maken en die op de complete mailbox toepassenVervolgens selecteren we de optie New Managed Content Settings, je krijgt dan het volgende scherm te zien:

Eigenlijk spreken alle velden voor zich toch bespreken we ze nog even stuk voor stuk:

  • name, naam van de Managed Content setting
  • message type, welk soort berichten willen we dat deze instelling op actief is
  • length of retention period, dit veld dient ingeschakeld te zijn om de overige settings in te schakelen. Wanneer je bijvoorbeeld alleen gebruik wil maken van de journal optie hoeft dit vinkje niet aan te staan. In het veld achter de optie kan ingesteld worden hoelang de items bewaard moeten blijven.
  • retention period starts, wanneer Exchange gaat kijken of de retentie tijd al is verlopen zal er een start datum bepaald moeten worden. Dit kan de datum zijn dat het item is aangekomen in de mailbox van de gebruiker of de datum dat het item in de betreffende map is geplaatst.
  • action to take at the end of the retention period, wat moet er gebeuren wanneer de retentie tijd is verlopen.
  • move to the following managed custom folder, dit veld dient alleen ingevuld te worden indien in het vorige veld de actie move to a managed custom folder is geselecteerd.

Vervolgens klikken we op next en krijgen de mogelijkheid om journaling aan te zetten

Met journaling kunnen we van elk item wat in de map terecht komt een copy sturen naar een apart e-mail adres. Hiermee kunnen we voorkomen dat indien een mail wordt verwijderd door de retentie-periode deze als nog uit de journaling box kunnen halen. Deze mailbox is vaak niet toegankelijk tot standaard gebruikers maar alleen bijvoorbeeld voor een manager.

Door een vinkje te zetten in het vakje Forward copies to en vervolgens een mailbox te selecteren uit de GAL. Indien gewenst kan het bericht wat geforward wordt apart gemarkeerd worden indien gewenst. Naast deze mogelijkheden kan worden ingesteld in welk bestands-type het bericht als bijlage wordt toegevoegd aan de mail gericht aan de journal mailbox.

Wanneer alle instellingen zijn zoals je wil klik je op new

Wanneer de instellingen succesvol zijn toegepast krijg je het volgende scherm:

Zoals je ziet zijn de instellingen succesvol toegepast en wordt nog even kort het Powershell commando weergeven wat is uitgevoerd.

Als je nu kijkt met het overzicht van de mappen zie je dat er een + teken is verschenen voor in dit geval de inbox. Wanneer je deze openklapt zie je de zojuist aangemaakte Managed Content Setting

Zoals al eerder vermeld zijn de namen die worden weergeven in deze tab slechts parameters en niet de mappen zelf. Stel dat we nu een andere retentie tijd aan willen maken voor bijvoorbeeld mailboxen van de directie hoe kunnen we dit dan oplossen.

Dit kunnen we oplossen door een nieuwe Managed Default Folder aan te maken. Dit kan vanuit het menu door te kiezen voor New Managed Default Folder of door ergens in het witte vlak van de tab met je rechter muisknop te klikken. 

In het bovenstaande scherm kunnen we het volgende instellen:

  • name, naam van parameter
  • default folder type, van welke type moet deze map worden
  • display the following comment when the folder is viewed in Outlook, hiermee stellen we in wat er getoond aan de gebruiker als waarschuwing/melding. Hiermee kan bijvoorbeeld een melding worden gemaakt over de retentie-tijd.
  • do not allow the users to minimize this comment in Outlook, hiermee voorkomen we dat gebruikers de waarschuwing/melding minimaliseren

Vervolgens klikken we op next om de nieuwe parameter aan te maken, indien dit succesvol wordt afgerond is het volgende scherm zichtbaar:

Wanneer we nu naar het overzicht kijken op de tab Managed Default Folders zien de de zojuist aangemaakt parameter er netjes bij staan:

De volgende tab die we bespreken is de Managed Custom Folders hiermee is het mogelijk een map aan te maken maar deze niet bij alle gebruikers aan te maken net als bij de Managed Default Folders.

Een nieuwe map kun je aanmaken door:

  • in het witte gedeelte te klikken van het scherm en te kiezen voor New Managed Custom Folders
  • in het menu aan de rechterkant van het scherm te kiezen voor New Managed Customer Folder

Wanneer deze optie wordt geselecteerd zal je het volgende scherm te zien krijgen:

Je ziet wederom een aantal velden in het scherm:

  • name, naam van de nieuwe map
  • displayed the following name when the folder is viewed in Office Outlook, hiermee stellen we de naam in zoals deze te zien is in Outlook
  • storage limit (in KB) for this folders and its subfolders, hiermee stellen we de grote in van de map en zijn submappen.
  • display the following comment when the folder is viewed in Outlook, hiermee stellen we in wat er getoond aan de gebruiker als waarschuwing/melding
  • do not allow the users to minimize this comment in Outlook, hiermee voorkomen we dat gebruikers de waarschuwing/melding minimaliseren

Wanner alle velden zijn ingevuld zoals gewenst is klikje op next, de map wordt nu aangemaakt en nadat dit is voltooid krijg je het volgende scherm te zien:

Vervolgens klikken we op finish om dit scherm te sluiten. We zien nu dat er een nieuw item is toegevoegd aan de tab

Wanneer je voor deze  map nu ook Managed Content Settings in wil stellen kun je dezelfde stappen volgen als bij de Managed Default Folders.

Nu de Custom Folder is aangemaakt dienen we deze nog aan een Managed Folder Mailbox Policy toe te voegen. Deze policy kan vervolgens toegewezen worden aan een een gebruiker om de betreffende map aan zijn/haar mailbox toe te voegen. Je kunt slechts 1 policy per gebruiker toewijzen, deze policy kan wel meerdere mappen bevatten.

Selecteer in het rechter menu de optie New Managed Folder Mailbox Policy om te beginnen met het maken van een nieuwe policy.

Zoals je bovenstaand kunt zien weer een aantal velden:

  • managed folder mailbox policy name, naam van de policy
  • specify the managed folders that you want to link to this policy, hiermee kunnen we meerdere mappen toevoegen aan deze policy.Dit maakt het mogelijk om meerdere mappen toe te voegen aan een mailbox van een gebruiker. Door op add te drukken kun je de mappen toevoegen die je aan deze policy wil koppelen. Naast de custom kun je dus ok default mappen aan een gebruiker toewijzen.

Nadat je alle instellingen hebt gedaan zoals jij wil klik je op next en krijg je vervolgens onderstaand scherm te zien:

Nu we alles hebben ingesteld is er nog een laatste stap die gedaan moet worden, het toewijzen van de policy aan een gebruiker.

Wanneer we dit bij een bestaande gebruiker willen doen vragen we eerst de eigenschappen op van deze gebruiker en gaan vervolgens naar het tab-blad Mailbox Settings. Zoals onderaan de tab netjes wordt weergeven heb je, indien je gebruik wil maken van Messaging Records Management wel een Exchange Enterprise CAL nodig.

Vervolgens selecteren we Messaging Records Management en klikken we op de knop properties.

Je kunt hier een aantal dingen instellen:

  •  managed folder mailbox policy, hier selecteren we de policy die we willen toepassen op de gebruiker
  • enable retention hold for items in this mailbox, hiermee stellen we in dat de retentie regels gedurende de ingestelde tijd niet wordt toegepast op de mailbox van de gebruiker.

Wanneer je dit wil toepassen bij een nieuwe gebruiker dan vindt je op de 4de pagina de mogelijkheid om een Managed Folder Mailbox Policy toe te wijzen:

Door een vinkje te plaatsen voor Managed Folder Mailbox Policy  en vervolgens de policy te selecteren pas je deze direct toe op de gebruiker.

Zoals je wel merkt heb je aardig wat opties vergeleken met Exchange 2003 denk wel goed na als je dit gaat implementeren aangezien dit natuurlijk ook gevolgen heeft voor de storage capaciteit die je nodig hebt.

Zo weer tijd voor een nieuwe tutorial, ditmaal over Messaging Records Management. Hier kunnen we Exchange automatisch laten regelen dat bijvoorbeeld items uit de inbox worden verwijdert of worden verplaatst naar een andere map. Dit is slechts een van de vele mogelijkheden, in de tutorial bespreek ik de overige manieren die mogelijk zijn

open

E-mail address policy

E-mail address policies altijd leuk om mee te klooien maar daardoor vergeet je soms de variabele die je kunt gebruiken om een e-mail adres op te bouwen. Vandaar maar even een kort lijst met de beschikbare variabele:

  • %g voornaam
  • %i middelste initiaal
  • %s achternaam
  • %d display name
  • %m Exchange alias

Deze variabele zijn te gebruiken met cijfers, zo is het mogelijk om bijvoorbeeld de eerste 2 letters van een voornaam te gebruiken door de variabele %2g op te geven bij het aanmaken van een e-mail address policy.

Willen we voor de gebruiker Pietje Puk een e-mail adres aanmaken waarin alleen de 1ste letter en de volledige achternaam wordt gebruikt dan zouden we de volgende waarden moeten opgeven bij EnabledEmailAddressTemplates:

%1g.%s@test.nl

Deze tutorial legt uit hoe je een gebruiker kan aanmaken via Powershell.

Als eerst starten we de Exchange Management Shell op, dit kun je vinden in je startmenu onder Microsoft Exchange Server 2007

Powershell

Zoals te zien is worden er direct een aantal commando’s weergegeven om bijvoorbeeld de help functionaliteit te gebruiken. Er zit ook een leuk grapje in Exchange 2007 Powershell gebouwd get-exblog opent bijvoorbeeld Internet Explorer met de pagina van de Exchange 2007 Community.

De volgende stap is het commando invoeren om een gebruiker aan te maken dit ziet er zoals onderstaand uit:

New-Mailbox –alias <alias> -name <name> -Database <Database name> -OrganizationalUnit Users –UserPrincipalName <UPN value, example: johan@test.local>

Wanneer je dit commando gebruikt zijn er een aantal verplichte parameters:

  • alias
  • name
  • database
  • organizationalunit
  • userprincipalname

Onderstaand een voorbeeld, dit commando maakt een gebruiker johan aan met een UPN johan@test.local in de OU utrecht in de database mailbox store.

User aanmaken

Wanneer je op enter drukt zal het commando uitgevoerd worden, er is echter nog 1 ding niet bekend en dat is het wachtwoord, zoals je hieronder ziet vraagt Powershell daar ook om.

Wachtwoord invoeren

Wanneer het wachtwoord is ingevoerd zal de gebruiker aangemaakt worden en zal Powershell het resultaat van het commando laten zien.

De gebruiker is aangemaakt

Natuurlijk zijn er nog veel meer mogelijkheden, deze gebruiker heeft namelijk geen managed folders toegewezen gekregen. Door de parameter -ManagedFolderMailboxPolicy <naam policy> op te geven krijgt de gebruiker wel een policy toegewezen. Zo zijn er nog een aantal parameters waaronder:

  • ActiveSyncMailboxPolicy
  • ResetPasswordOnNextLogon
  • WhatIf

Vooral het laatste commando kan handig zijn als je niet zeker bent van je zaak. Deze parameter zorgt er namelijk voor dat het commando niet echt wordt uitgevoerd. Het resultaat van dit commando kan dan eerst bekeken worden alvorens dit commando echt wordt uitgevoerd.