Problémamentes átállás Exchange 2010-ről 2016-ra

2018. nyarán kaptunk felkérést nagyvállalati ügyfelünktől, akivel korábban már több nagyobb projekten sikeresen dolgoztunk együtt. Korábban teljeskörű IT auditot végeztünk náluk, ezt követően a szerver rendszerük korszerűsítését és rendberakását, a korábbi Windows Server-es problémáik megoldását is sikerrel elvégeztük. A munka kezdetét egy alapos tervezés, majd az új Dell PowerEdge szerver és a szükséges szoftverlicencek beszerzése követte. Miután ezzel megvoltunk következhetett a tényleges átállás dátumának kitűzése és az előkészületek. Mivel Exchange átállásról, postafiókok migrálásáról volt szó, amivel korábban már számos tapasztalattal rendelkeztünk, így pontosan tisztában voltunk vele, hogy milyen sebességű adatmozgással lehet számolni. Ügyfelünk telephelyén gyakorlatilag a hét minden napján zajlik valamilyen termelő tevékenység, így nagyon fontos volt az átállást a legapróbb részletekig megtervezni, hogy minél kisebb leállással, szolgáltatás kieséssel járjon az egész folyamat. Köszönhetően a korábban szerzett tapasztalatainknak és az alapos tervezésnek ez jobban nem is sikerülhetett volna, de ne szaladjunk ennyire előre…

Exchange Server 2016

Mivel a tervezési folyamat kezdetekor igen jelentős mennyiségű adatról volt szó, ami akár egy teljes hétvégés átállást is igénybe vehetett volna, ismerve az Exchange fiók migráció tempóját (a rendszert úgy tervezték, hogy olyan lassan csorgassa az adatokat, hogy közben az Exchange lassulás nélkül ki tudja szolgálni a kéréseket, tehát használat közben lehessen átállni), ugyanakkor azzal számoltunk, hogy legjobb esetben is péntek estétől hétfő reggelig mindennek át kellene érnie, hogy ne legyenek fennakadások az átállás során. Ezért az előkészítést azzal kezdtük, hogy kiexportáltuk Powershell-ből a meglévő e-mail fiókokat, majd átnézettük a listát az ügyféllel, aki megjelölte nekünk az archiválható fiókokat. Amint ez elkészült csináltunk egy teljes mentést a régi Exchange rendszerről és a levéladatbázisokról (mind a háromról), majd lejjebb vettük az adatmegőrzési időt, hogy az átállás tervezett dátumáig végleg törlésre kerüljenek az adatok. Ezután szintén Powershell-ből a törölni kívánt fiókok tartalmát kiexportáltuk PST fájlokba, majd töröltük (illetve letiltottuk, törlésre megjelöltük) a sikeresen exportált fiókokat. Ezzel a közel 500GB-os levéladatbázisokat 300GB körülre le tudtuk szorítani. Itt alkalmaztunk még egy korábban jól bevált trükköt, minden fiókhoz 1-től 5-ig kértünk egy prioritási számot, hogyha hétfő reggelre bármi miatt nem tud lefutni minden tudjuk kik azok, akiknek feltétlen működnie kell. Az 1-es prioritási csoportba kerültek azok, akiknek hétvégén is el kell tudni érni távolról a levélfiókjukat, a 2-esbe és a többibe pedig fontossági sorrendben bekerült mindenki más.

Az előkészítő munka egyik fontos eleme volt az is, hogy az Outlook kliensek verzióját ellenőrizzük, erre az új Exchange-re való problémamentes kapcsolódás miatt volt szükség. Mivel az ügyfél számára korábban telepítettünk egy WSUS rendszert, így a 2010-es és 2013-as Office rendszerekre és az Outlook-ra kiadott és még nem telepített frissítéseket rövid határidővel telepítettük a gépre és az átállás előtt gondoskodtunk róla, hogy minden gépen olyan verziójú kliens legyen fent, amely képes lesz gond nélkül dolgozni az Exchange 2016-al.

Időközben telepítésre került az új szerver, majd az Exchange 2016 virtuális gépe, a Windows Server 2016 Standard a legújabb frissítésekkel, végül a gépre előkészítettük a kezdéshez az összes szükséges telepítőt. .NET csomagot, különböző szükséges filterek és egyéb Microsoft összetevők telepítőit és természetesen a legújabb Exchange 2016 telepítőt is. Ezután a gép megkapta a telepítéshez szükséges szerepköröket és adminisztrációs eszközöket, konzolokat, így tényleg minden készen állt az Exchange telepítő indítására.

Egyetlen nappal az indulás előtt ismét teljes mentés készült az Exchange 2010-ről, majd következett a Microsoft által is javasolt eljárás, a régi szerver frissítése. Megkapta az Exchange Server is a legújabb update rollup-ot, majd a Windows is a frissítéseit. Ezután következett egy gyors ellenőrzés, minden Exchange összetevő problémamentesen üzemelt, így megkezdhette a régi rendszer az utolsó munkanapját, hogy aztán pénteken a munkaidő végeztével indulhasson az utolsó teljes mentés készítése egy külön kazettára, majd a tartományvezérlő soron kívüli mentése, ezután pedig az átállás.

Telepítettük az Exchange 2016-ot, beállítottuk rajta az alapvető küldési – és fogadási összetevőket, és amikor a gép már készen állt a munkára a tűzfalas csapat fél órán belül átállított mindent nekünk a tűzfalon, így innentől már a 2016-os szerver látta el a fő levelezési feladatot, a régi 2010 pedig mailbox szerverként üzemelt tovább, tárolva a régi levélfiókokat. Beállítottuk itt is a 3 levéladatbázist a szükséges korlátokkal, majd megkezdtük a tényleges adatmigrálást. Itt került elő ismét a bekért táblázat, az 1-es prioritási értékkel rendelkezők levélfiókjai így sikerrel elkezdték a másolást péntek este, hogy szombat reggelre már az új szerverről érjék el a leveleiket. Ismerve az Exchange trükkjeit és hogyan lehet gyorsítani a migrálási folyamatot végeztünk pár módosítást a konfiguráción, ami a másolási sebességet nem emelte meg (arra nem ad lehetőséget a Microsoft), de az egyidejűleg másolható elemek számát és az egyszerre elindítható migrálási szálak számát megemelte, ami végső soron a másolási tempó drasztikus növekedésével is járt. A végeredmény olyan jól sikerült, hogy péntek éjfél körül már a 2-es prioritási értékkel rendelkezők fiókjai kerültek elindításra, és mivel ilyenkor nekünk az ügyfél rendszere, az átállás sikeressége jelenti a legfőbb prioritást, így a munkát végző rendszergazda alvás idejét is a migrációs folyamathoz igazítjuk, az előző néhány óra statisztikája alapján pont annyi migrálási szálat indítottunk el, amennyi még egymást nem akadályozza, ideálisan fut le, de a rendszergazdának is ad kb. 8 óra alvás időt, amíg a szerverek másolnak. 🙂 Nagyjából a becslés stimmelt is, így fordulhatott az elő, hogy a 3-as prioritásúak is lementek reggelre, és a szombati reggeli elfogyasztását követően már a 4-es prioritásúakkal folytathattuk, hogy aztán az 5-ösökkel zárva a sort már szombat kora délutánra lefusson a folyamat legkritikusabb része.

Természetesen ez idő alatt számos konfigurációs feladat is elvégzésre került, többek közt a nyilvános mappák migrálásának előkészítése, az egyéb, kézzel konfigurált küldési összetevők script-elt export/importja, az új Exchange-en a levéltanúsítványok beállítása és a virtuális könyvtárak helyes beállítása, ami a mobileszközök és a távoli elérés számára fontos lépés. Így szombat késő estére az utolsó simítások is elkészülhettek, végül a távoli elérés, a webes levelező és minden fontos szolgáltatás tesztelésre került, majd a régi Exchange 2010 lebontása és eltávolítása a rendszerből szintén megtörtént. Teljes lett tehát az átállás, alig több, mint 24 óra alatt átálltunk közel 150db levélfiókkal, 300GB-nyi adattal.

A munka zárásaként vasárnap délelőtt a helyi IT csapattal közösen végig teszteltünk mindent. Néhány mobileszköz újrakonfigurálására még szükség volt, de alapjában véve a szolgáltatások rendben működtek. Hétfő reggel aztán eljött az éles teszt ideje, ahol az Outlook-ok sikerrel kapcsolódtak az új Exchange szerverre és néhány mobil átállításán és az új webes felületet leszámítva észre sem vették a felhasználók a váltást, pedig nem kevés és nem egyszerű munkák előzték meg az előtte lévő 2 napban az átállást. Természetesen a hétfői napon is személyesen jelen voltunk, hogy bármilyen felmerülő probléma esetén azonnal segíteni tudjunk a helyszínen. Szerencsére nem kellett, így egy remekül sikerült munkát zárhattunk és újabb tapasztalatokat szerezhettünk, ügyfelünk pedig újfent elégedett lehetett az elvégzett munkánkkal.

Milyen vírusirtót válasszak?

A legtöbben akik ma számítógépet használnak már tisztában vannak a vírusok veszélyeivel, ez a cikk most nekik szól és a megfelelő védelem megtalálásában szeretne segítséget nyújtani. Azok számára, akik nem érzik ennek súlyát javaslom előbb ezt a cikket: http://www.itcikkek.hu/informatikai-veszelyek-a-virusokrol/

Vírusirtók

Ma már elmondhatjuk, hogy talán egy fokkal jobb a helyzet, mert a Windows 8 megjelenése óta minden PC-n jelen van egy aktív vírusvédelem a Windows Defender személyében. Így azoknak a gépe is már a telepítés első pillanataitól fogva védve van, akiknek fogalma sincs róla mi is az a vírusirtó. Ráadásul a Windows frissítésekkel együtt a definíciós fájlok is frissülnek benne, így folyamatosan naprakészek lehetünk az újonnan megjelenő kártevőkkel szemben. Ezzel az egyetlen baj, hogy a tesztek alapján kb. 80%-os védelmet nyújt csak, vagyis 1000-ből 200 vírus fog átjutni a szűrőnkön. A sok éves tapasztalatunk pedig az ilyen “gyári” védelemmel ellátott gépeken, hogy be is jön az az 1000-ből 200. Ezzel szemben egy jól megválasztott fizetős (de akár még ingyenes) védelem is képes lehet 1000-ből 990 vírus kiszűrésére. Mivel a zsarolóvírusok és egyéb nagyon kemény károkat okozó kártevők korszakát éljük ezt a veszélyt nem árt komolyan venni bármilyen gépről is legyen szó, az otthoni gépünkről elveszített sok évnyi családi fotó éppen olyan fájdalmas tud lenni, mint a cégünk működéséhez szükséges adatok, amiket hiába őrzünk adott esetben biztonságosan, ha egy vírus utána pillanatok alatt elintézi az egészet.

Cikkünket most két részre bontanám, az első szóljon az otthoni felhasználókhoz, a folytatás pedig az üzleti ügyfelek számára segít majd dönteni. Kezdeném azzal, hogy tudomásom szerint egyetlen ingyenes védelmi megoldás sem legális céges használatra, ezt nem árt tudni. Otthoni felhasználásra viszont mindenki szabadon alkalmazhatja őket, általában azzal szoktak kevesebbet tudni fizetős társaiknál, hogy kémprogramok ellen nem védenek, tehát az olyan programok, amelyek hirdetéseket jelenítenek meg folyamatosan a gépünkön, esetleg az internet használati szokásainkról és egyebekről jelentenek azok szabadon garázdálkodhatnak. Nagyon gyakori még, hogy az ingyenes megoldások mindenféle regisztrációkat követelnek meg, folyamatosan ajánlatokkal bombáznak minket, próbálnak meggyőzni a fizetős változat megvételéről, vagy nem valós fenyegetésekre hívják fel a figyelmünk. Éppen ilyen védelem az Avast is, amelyik egyébként az ingyenesek közt talán most az egyik legjobb, mindössze évi 1 alkalommal meg kell adjuk az e-mail címünket, ami egy gyors és egyszerű regisztrációnak felel meg, cserében egész évben ingyen védi a gépünket, sőt még a kémprogram típusú kártevőkkel szemben is aktív. Ugyanakkor a fizetős védelemre szőtt meggyőzési stratégiát már időnként túltolják a programozók, egy ismerősöm gépén például nemrégiben a fizetős változatban elérhető takarító program megvételéről úgy próbált meggyőzni minket, hogy 160GB-nyi szemetet talált egy olyan gépen, amin összesen 140GB az adat, amiben benne volt maga a Windows rendszer és bizonyíthatóan több tíz GB privát adat is, ami legkevésbé sem tekinthető szemétnek. Mégis, ha valaki ingyenes megoldást keres otthonra, akkor elsőként az Avast-ot tudom neki ajánlani, nem elég, hogy a független teszteken mostanában mindig az élmezőnyben végez, a teljessége miatt (kémprogramot is keres) is jó választás. Csak nem kell készpénznek venni, amikor egyéb veszélyekre figyelmeztet és a fizetős változatot akarja eladni nekünk. Ha már szóba kerültek a tesztek, nos mindenképpen érdemes azok alapján választani. Nem mondom, hogy otthoni felhasználóként az ember órákat böngéssze a független tesztek eredményeit és utána olvasgasson minden tesztelési metódusnak, hogy értelmezni is tudja azokat, ezért vagyunk mi, hogy ezt megtegyük. Ráadásul ahogy az informatikában is minden gyorsan változik, úgy itt is gyorsan változnak a trendek, gyakran évről-évre változik a gyártók sorrendje, amit mezei felhasználóként nehéz is lenne nyomon követni. Például sokan emlékezhetnek, hogy 8-10 éve minden a NOD-ról szólt milyen innovatív, gyors és jó találati arányú termék, azóta pedig hosszú évek óta a futottak még kategóriát erősíti.
Ha valaki otthoni felhasználóként rászánja magát egy fizetős védelemre, akkor az Avast mellett egy GData Antivirust tudok neki javasolni, amit minél több gépre vesz meg annál olcsóbb. 1 gépre évente 6000 forint körül érhető el (ami havi 500ft), de ha mondjuk 3 gépünk van otthon, akkor már évi 4000 forint körül is kijövünk gépenként. Érdemes lehet többen összeállni családon belül és akkor nagyon olcsón lehet egy piacvezető vírusirtónk, ami 1000-ből legfeljebb néhány vírust enged csak át, jó eséllyel egy bekapcsolt viselkedés védelem még azokat is lekapcsolja.

A céges ügyfelek esetében már az ingyenesekről nem beszélhetünk, így jöjjenek a fizetős megoldások és azok fajtái. Itt mindjárt fontos lenne két részre bontani a védelmek típusait, központilag felügyelhető és ún. “otthoni” változatra. Általában azt szoktuk mondani ahol a gépek száma 10 alatt van ott mindegy melyik változatot veszik, 10 gép felett azonban már mindenképpen érdemes elgondolkozni a központilag felügyelhető változaton. Ennek rendkívül egyszerű oka van. A vírusirtó is egy program, aminek ráadásul nagyon fontosak a napi rendszerességű frissítések, ugyanúgy tartalmazhat program hibákat, egyes esetekben leállhat akár a védelem, illetve a másik fontos szempont, hogy amikor biztonsági riasztás történik a felhasználó nem biztos, hogy a legjobb döntést hozza, viszont bármit is kellhet csinálnia a rendszergazdának a védelemmel azt csak a géphez odaülve, a felhasználót a gépétől felállítva tudja megtenni. A központi konzolos megoldásoknál ezzel szemben a frissítéseket egy központi konzol tölti le és terjeszti a hálózat gépei közt, amiken egy ún. ügynök program tevékenykedik és küldi a jelentéseket a központi konzol felé. Így a cég rendszergazdája egyetlen felületen monitorozhatja a védelmeket, és kezelheti a biztonsági incidenseket anélkül, hogy a felhasználókat ki kéne vegye a munkából. Ráadásul pillanatok alatt lehet egy beállítást a cég összes gépén elvégezni és pár percen belül már az összes vírusirtó aszerint működik. Ugyanígy beállíthatóak időzített, központi víruskeresések és bármikor lehet ilyeneket indítani kézzel akár egy-egy gépen külön-külön is vagy egyszerre az összesen. Ezek mind olyan hasznos funkciók, amelyek nagyban növelik a védelmi rendszer hatékonyságát, természetesen egy bizonyos számú gép felett érdemes ilyen fajtát választani. Ma már a nagy gyártók mindegyike rendelkezik ezzel a fajta védelemmel. Technikailag egy központi gépet igényel, nem feltétlenül szervert (bár ha egyébként is van célszerű arra telepíteni), de egy olyan gépet, ami az idő legnagyobb részében elérhető a hálózaton és olyan ember használatában van, aki a központi konzolt fogja felügyelni.

Vírusirtó tesztek

Az pedig, hogy ki melyik gyártó termékét választja már picit vallás kérdése is, mert szoros az élmezőny, de mindenképpen a független tesztekből érdemes tájékozódni az aktuális trendekről. A két legnagyobb ilyen oldal a virusbulletin.com és az av-test.com. Ezek különböző szempontok alapján osztályozzák, pontozzák és minősítik a különböző gyártók termékeit. A szempontok közt szerepel általában a találati arány mellett az erőforrás igény (mennyire lassítja a gépünk), az ismeretlen vírusok elleni védelem, az ismert kártevők elleni védelem (felismerés minta alapján), de még az is, hogy hány false positive-ot (hány hibás felismerést) produkál az adott termék. Mi a Virusbulletin által publikált RAP átlagot szoktuk mérvadónak tekinteni, ami a felismerési hatékonyságot átlagolja, az ismeretlen vírusok elleni védelmet és a minta alapján történő felismerést és az ad egy olyan viszonyszámot, ami megmondja nekünk hogyha egy tetszőlegesen kiválasztott vírussal találkozik a gépünk mennyi esélyünk van egy fertőzésre. Minta alapján ma már a nagyobb gyártók szinte mind hozzák a 100%-ot, a RAP átlag viszont arra is vonatkozik ha én éppen most írok egy friss vírust és ráengedem a védelemre / vagy a netről összeszedek egy pár órán belül megjelent új vírust, akkor milyen esélyeim vannak vele szemben. Az elmúlt évek RAP átlagain pedig jól látszik, hogy a GData megoldása évek óta stabilan az élen van, köszönhetően a nagyon hatékony felismerési megoldásainak, amivel az ismeretlen kártevőket is nagyon hatékonyan szűri ki. Erről érdemes megnézni ezt a videót:

Ezzel szemben viszont sajnos a tapasztalatok azt mutatják, hogy olyan neves gyártók, mint az ESET (NOD) védelme is képes több hónapja ismert vírusokkal szemben végzetesen elvérezni, egyik ügyfelünk a korábban jó pénzért megvásárolt ESET Endpoint Security védelme ellenére is sikeresen el tudott indítani egy májusi megjelenésű zsarolóvírust, aminek az exe-jét egyébként a saját aznapi GData Internet Security védelmünk név szerint azonosított és már a másolás pillanatában lefülelt, esélyünk sem maradt tehát elindítani.
Ezért érdemes olyan védelmet választani, ami hatékonyan megvédi gépünket a mai modern vírusoktól, különben nagy árat fizethetünk érte. Pedig gyakran nem a drágább védelem a jobb, ahogy a mellékelt példa is megmutatta. A GData és az Avast mellett ajánlottak még a Kaspersky, az AVG és a Bitdefender termékei is, kinek mi tetszik jobban. Jelen pillanatban ezek a cégek jelentik az élmezőnyt.