Tag Archives: troubleshooting

Отправка писем от имени группы в Microsoft Exchange 2010

В общем вся настройка сводится к добавлению прав send-as для distribution group через EMS:

Add-ADPermission grpname -ExtendedRights Send-As -User usrname -AccessRights ExtendedRight

либо через оснастку ADUC. Для распространения настроек требуется 2 часа либо вручную перезапущеный сервис Exchange Information Store. Последнее приведет к обновлению кэша и злым пользователям.

Если после этого вы все равно продолжаете получать отбойник о том, что, мол

You can't send a message on behalf of this user unless you have permission to do so.
Нельзя отправить сообщение от лица этого пользователя без соответствующего разрешения.

то вам следует выполнить следующие действия:

  1. Попробовать отправить письмо от имени группы из OWA.
  2. В случае успеха вам следует удалить OAB при выключенном Outlook.
C:\Users\%username%\AppData\Local\Microsoft\Outlook\Offline Address Books

Медленный Citrix Web Interface/MMC-консоль, проблемы с CRL

citrix logoПри стечении определенных обстоятельств сервер, на которым расположен Web Interface, может отдавать страницу в течении весьма длительного времени. Случается это в тех случаях, когда не подключенный к интернету сервер был перезагружен или был перезагружен IIS и, одновременно с этим используется 3rd party SSL сертификат.

Ниже представлены workaround и объяснение механизма CRL.

Workaround

  1. Проверьте версию ASP.net, которая используется с вашим Web Interface. Отредактируйте aspnet.config в надлежащем каталоге C:\Windows\Microsoft.NET\Framework\v[num].
  2. Добавьте следующую запись в конфигурационный файл и перезапустите IIS:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <runtime>
        <generatePublisherEvidence enabled="false"/>
    </runtime>
</configuration>

Объяснение механизма работы CRL

CRL (certificate revocation list) – список отозванных сертификатов, позволяющий быстро и без лишней пыли проверить был ли отозван сертификат и действителен ли он. Есть два способа выполнить такую проверку: загрузить CRL целиком или, воспользовавшись OCSP (online certificate status protocol), выполнить проверку только интересующего сертификата. Не надо путать Expiried сертификаты (истек срок) и Revoked (сертификат был отозван).

Соответственно тормоза берутся когда рабочая станция или сервер, не будучи подключенными к интернетам, пытается загрузить CRL или выполнить проверку по OCSP. До тех пор пока соединение не отвалится по timeout свой web interface вы не увидите.

Эта проблема актуальна не только для сайтов, но и для приложений, написанных на .NET (фича называется Code Security Access – CAS). Когда загружается какой-либо модуль система ожидает подтверждения о том, что CLR (Common Language Runtime) подписан сертификатом от издателя и делает ровно то, для чего он предназначен.

Выключать CRL полностью сильно не рекомендуется для окружений, находящихся в эксплуатации, однако не возбраняется отключить его в процессе поиска неисправностей. О способе это сделать написано в разделе workaround в начале статьи.

Citrix Access Gateway на NetScaler VPX – tips & tricks

citrix logoВ заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.

Процесс подключения

Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.

cag access scheme

  1. Пользователь попадает на https://cag.company.ltd
  2. Access Gateway терминирует SSL и производит аутентификацию пользователя (а если включен Smart Access еще и валидацию оборудования).
  3. В соответствии с заданными политиками происходит коммуникация с Web Interface (WI) и пользователю отображается сайт. CAG выступает в роли reverse proxy.
  4. Пользователь запускает приложение, кликнув на иконку.
  5. WI запрашивает тикет от XML сервиса (STA – Secure Ticket Authority).
  6. WI отправляет пользователю тикет в ICA файле.
  7. Citrix Receiver запускает ICA клиент, заворачивает ICA сессию в SSL и отправляет все это дело до Access Gateway.
  8. Если Access Gateway получает информацию о том, что тикет валидный, то ICA сессия устанавливается, пользователю показывается приложение. Read more »

Проблемы с загрузкой Citrix Access Gateway

В один прекрасный момент сразу два виртуальных аплайинса Citrix Access Gateway VPX в failover конфигурации после потери питания отказались загружаться. Времени разбираться в чем именно дело не было, я развернул новые шлюзы и открыл тикет. Хорошо, что я не стал ждать ответа саппорта, потому что все, что я получил после недели переписки стал /dev/null.

Откровенно говоря, я забил на аплаинсы, потушил давшие сбой виртуальные машины и отправил их в архив. Ну а сегодня закончилось время действия SSL сертификатов и я про них вспомнил. Учитывая то, что подготовка к CCNP порядком надоела любая отвлеченная от нее активность воспринимается как благо. Read more »

iOS приложения закрываются сразу после открытия

Имел удовольствие сегодня лицезреть занятный баг после ОТА 5.1 > 5.1.1 как на iPhone, так и на iPad. Приложения закрывались сразу после того, как нажималась иконка. Перезагрузка девайсов не спасала, однако установка любого бесплатного приложения решила проблему в обоих случаях.