AbcLinuxu:/ Blogy / Max_Devaine / windows / Office 365 - Zkušenosti

Office 365 - Zkušenosti

8.3.2023 19:36 | Přečteno: 1849× | windows | poslední úprava: 8.3.2023 19:36

1) Dokonalé licenční peklo?

Navazuji na minulý zápisek: Migrace na Office 365: Jeden hnus za druhým. Tj., pár dceřinek se migrovalo, další se migruje.

Situace je stejná jako ve zmíněném článku, možná ještě horší. V licencích je pořád stejný bordel, nejde se v tom vyznat, ani licenční firmy stále nedokáží říci, co která licence znamená (co se za ní skrývá za fce a limity). Ten licenční matrix, co jedna firma spravuje, je zdá se lehce nepřesný. Když jsem něco relativně nedávno řešil, tak mi bylo sděleno, že to je jinak. Nelze se tedy plně spolehnout ani to :(.

Na pytel je i nákup licencí. To, co MS vyzvedával, že je super, tj. prostě platíš, co používáš, zvyšuješ a snižuješ licence atd., to v reálu vůbec, ale vůbec neplatí. MS totiž povolal subdodavatele, těm dal nižší cenu, než nabízí naklikáním ve svém klikátku. V reálu to znamená, že aby firma ušetřila nemalé peníze, musí fungovat přes tyto subdodavatele. Třetí straně musíte dát přístup do vašeho tenantu, aby vám mohla licence přidělovat, nebo odebírat.

Také stále platí, že nelze ponižovat jednotlivé licence, ale jen zakoupené balíčky. Pokud tedy nakoupíme balíček 50 licencí, tak nemůžeme jednu z nich ponížit na nižší verzi. Musí se operovat s celým balíčkem. Nice nice baby.

Jinými slovy, celá flexibilita jde ukrutně do prdele a totálně nesmyslně se živí překlikávači licencí. Totálně mi tato filozofie uniká.

1.1) Tak za týden

Dobrý den, potřebujeme 15x novou licenci. Dobrý den, MS má odstávku licenčního portálu, budeme moci tedy rozšířit cca za týden. WTF???

2) Systémová část

Co dva měsíce slyším hlášky jako: "Taky ti ten portál nefunguje? Ano, mají nějaký problém". Nebo: "Dnes je to ukrutně pomalé, asi nějaká údržba. Zkusím to nastavit později, tohle se nedá."

2.1) Trace log

Vyhledej mi prosím logy z minulého týdne (6 dní zpětně). Ok, klik, klik, žádost o report. Za hodinu: "Tady máte logy před 6 dny". WTF? Hele, kolego, neříkal jsi, že ten trace log zrychlili a do týdne to vyhledává rychle? Proč jsem na to čekal skoro hodinu? Jo, ono to funguje rychle, ale nesmíš si tam specifikovat filtr, funguje to rychle jen v případě, že chceš odpověď jen true/false, tj. zda ten email byl doručený bez dalších podrobností ani filtrů. WTF???

2.2) Migrace z on-prem Exchange

MS dodává zdarma licenci Exchange 2019 pro migraci z on-prem. Tato instalace musí zůstat ve firmě běžet. Je k tomu několik důvodů. Tím prvním je, že MS nepodporuje plnou migraci z Exchange na Office365, protože při odinstalaci Exchange se odeberou informace z Active Directory a celé to jde do kopru. Je tedy třeba zachovat jednu instanci Exchange a o tu se starat (udržovat, patchovat, nechat testovat nastavení pentest teamy apod.). Údajně slíbili, že to vyřeší, možná se tak už stalo s nějakým patchem? Nevím.

Další důvod, proč si zachovat on-prem instanci, je ten, že prostě ksich Office365 neumí vše, tj. pro snadnější správu Office 365 je dobré si lokální instanci zachovat :).

2.3) Powershell je tvůj kámoš

Je to tak, stejně jako u on-prem, tak u Office 365 je nutné ovládat powershell, protože spousta nastavení nelze udělat jinak. Nejde naklikat ani prosté sdílení mailboxu, nebo přidání oprávnění pro uživatele do sdíleného mailboxu, jedině powershell. Proč? Protože přes klikátko to nastavit samozřejmě jde, ale totálně zhovadile. Zhovadile v tom, že se to uživateli automaticky přidá do outlooku jako delegovaný mailbox s lokální keší do stejného ost jako jeho vlastní mailbox. Obě dvě funkce jsou totálně na nic. První zajistí jen omezenou práci se sdíleným mailboxem (kooperace na pytel), ta druhá pak znefunkční outlook, protože jedno velké ost je prostě big problém.

Šup tedy naladit powershell, connect do Exchange Online a nasdílení mailboxu, příklad:

# - Exchange Online
Install-Module -Name ExchangeOnlineManagement
# - Admin portal
Install-Module MSOnline

# přihlášení do Exchange Online
Connect-ExchangeOnline -UserPrincipalName devaine@devainegroup.onmicrosoft.com -ShowProgress $true

# přidáme frantovi přístup do sharedmailboxu
Add-MailboxPermission -Identity sharedmailbox -User franta -AccessRights FullAccess -InheritanceType All -AutoMapping:$False
Add-RecipientPermission -Identity sharedmailbox -Trustee franta -AccessRights SendAs -Confirm:$False

2.4) Vopičárny

Vtipem je třeba vytvoření sdíleného mailboxu. Na ten nejsou potřeba licence, ale nejde bez licence vytvořit :D. Abychom tedy vytvořili sdílený mailbox, musíme přidat uživatele do lokálního AD, počkat 5-10min, než proběhne autosync do AzureAD (stejně jako když se zakládá běžný uživatel). Poté se uživatel objeví v AzureAD, kde se mu přidá licence. Tím se mu vytvoří mailbox. V Exchange Online zkonvertujeme tento mailbox na shared mailbox a zpět ve správě uživatelů odebereme uživateli licenci. Vopičárna na čtvrt hodiny. Věc, co jsem v KerioConnect naklikal za 10s. Věc, co v Exchange on-prem naklikám za minutu.

2.5) Skrytá nastavení

A teď pozor, kdo si vzpomíná na článek o Win DHCP serveru (Windows DHCP: Černá díra Event ID: 20292), tak podobné dokonalé funkcionality má i Office 365. Tj. máte tam nastavení, které nevidíte, protože je legacy a nastavuje se jinými nástroji, než aktuálními. Kdo si chce počíst, tak tady, jak se to zneužívá k útokům: SaaS Rootkit Exploits Hidden Rules in Microsoft 365

3) Zásah, loď potopena,...skoro

Účty se do Office 365 (Azure AD) syncují z lokálního Active Directory pomocí Azure AD Connect, který musí být nainstalovaný na doménovém serveru atd. V rámci něj se zvolí, jaká OU (části Active Directory struktury) se mají syncovat.

Co se stalo? Jedna pobočka u jedné dcery se rozdělila a vytvořila se další pobočka. Vytvořilo se tedy další OU pro novou pobočku. Tam se přesunuli uživatelé, co se stěhovali. Za pár hodin začali volat, že jim nejdou emaily.

Problém byl v tom, že to nové OU nebylo zahrnuto v synchronizaci s Azure AD. Přesunutím uživatelů tedy zmizeli z původního OU, tím se i automaticky smazali z Azure AD a automaticky se jim smazaly mailboxy a vše okolo.

Řešení je prosté, asap vrátit uživatele do OU, které se syncuje, nebo to nové zahrnout do syncu. Pokud se tak stane do nějakého času (48h, možná déle), tak se mailboxy, emaily a další účty obnoví. Co se ale neobnoví, to je nastavení Sharepointu, MS Teams a další. Pokud tedy uživatel v rámci Sharepoint Online něco sdílel, tak to všechno musí nastavit znovu (pokud si to nastavení firma nezálohuje pomocí třetí strany a nemůže pak obnovit). Takže i tak to pak může nadělat spoustu problémů. Řešením by bylo syncovat celé AD, ale to také člověk moc nechce. Je to prostě další část podobná těm licencím, buď všechno, nebo problém. Pokud si nekoupím nejvyšší licence, dojedu na věci jako nemožnost two-way syncu hesla apod. Pokud nebudu syncovat celou strukturu AD, tak může nějaký admin omylem sundat hafec lidí z Office 365.

4) MFA a Microsoft Authenticator

Zdá se to jako super věc. Když se přihlásím, tak mi to MS Auth řekne, já to odkliknu a vše ok, pak už mě na tom daném zařízení neotravuje. Problém je ta plná automatizace, kdy uživatel nemusí nic přepisovat, jen odbouchne požadavek. Ano, tato super věc se začíná podobat věcem, co známe z Windows, tj, odbouchávat všechny hlášky bez přečtení. Pokud útočník zná heslo a pošle žádost o odsouhlasení, tak to uživatel odbouchne a neřeší, protože prostě nedávno mu to zlobilo, chtělo to po něm často, takže když to neodbouchne, nepůjdou mu emaily. Takový je myšlenkový pochod běžných uživatelů.

MS nabízí ještě MFA přes sms, nebo pak přes 3rd Auth App jako Google Authenticator, Authy apod. Je tedy podle mě mnohem bezpečnější, když se uživateli nastaví klasický TOTP s předatlováním čísla, než když se mu nastaví MS Authenticator.

Co když chci být bezpečný a nechci předatlovávat? V takovém případě musím vytáhnout opět starší zápisek: Bitwarden: Nejlepší správce hesel?. Bitwarden totiž má v sobě Auth fce. Přes mobilní aplikaci se naskenuje QR kód a Bitwarden pak poskytuje/generuje i TOTP.

Závěr

Všechny tyto patálie pak směřují k tomu, že to prostě člověk nechce řešit. Nechce řešit milion blbostí s licencema, milion technických překážek a začne inklinovat k tomu, že se bude syncovat celé AD, nebudou se řešit licence a budou se kupovat zbytečně ty nejvyšší apod.

Shrnuto a podtrženo, je to prostě super, uživatelé si mohou sdílet co chtějí, s kým chtějí, blbě se to audituje (resp. jsou na to potřeba nástroje třetích stran), Office 365 se nezálohuje, takže kdo chce, jsou tu nástroje třetích stran (4-15 EUR / user), založení mailboxu trvá 10x delší dobu, dohledávání trace emailů není v řádu minut, ale hodin, občas jim prostě nefunguje správa, občas jim nejde licenční portál, občas je to pomalejší než šnek na pláži atd., ale zase je to dražší, tak se to vyplatí :D.

A co vy? Jak jste na tom? Co používáte? Jak to vidíte?

Zdar Max

PS: Ano, vidím to příliš pesimisticky, ale to vidí člověk vždy, když přechází z něčeho lepšího na něco horšího :-/. Zřejmě jsem jen příliš zhýčkaný on-prem službami a ve skutečnosti např. nepotřebuji vyhledávat logy, protože to přeci funguje a nějaké logy jsou jen pro boomery.

Tiskni Sdílej:

Komentáře

Vložit další komentář

Som obycajny pouzivatel windows tabletu pri reinstalacii windows 10 na 11 ma zarazilo nutenie k Office 365 nastastie som sa preklikal bez nutnosti si tuto vec aktivovat nakolko office nepouzivam, len basic OneDrive, a taktiez z ich apiek OneNote. Niekde som cital ze ich ms antivirus defender MS nanucuje hned ked si zaplatite premium Office 365 na druhu stranu som sa nechal uniest a som si priplatil 2ecka mesacne na 100GB za OneDrive namiesto 5GB ktore su ponukane v zaklade, je to tak trochu vyhodne zatial kedze na SAMSUNG tablete som mal predinstalovane OneDrive a k tomu rad pouzivam Skype, inac vie mi niekto povedat ako to bude zo Skype? Mam rad Skype a MS Teams moc nerozumiem vsak je to toto iste nie ako Skype. Inac pre tych ktory citate tento post odporucam ak uvazujete o cloude radsej ak mate money ist do Dropboxu ten je tiez napriec platformami napr aj pre jablckarov alebo zadara 15GB za MEGA. Mna to doslova nasralo to vnucovanie sluzieb zo strany MS ale ok no.

8.3.2023 21:55 iPad über alles
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Windows Tablet? WTF? Jeste jsem o tom neslysel a nevim jestli chci slyset protoze to zni strasidelne uz jen z nazvu a to jsem ani tvuj prispevek do konce nedal

Soryjako ale je jen jediny tablet - iPad. Androidove jsou sracky jiz z principu (prvni a posledni aktualizaci to dostane na vyrobni lince) a Windowsove to snad musi mit aktivni vetrak nebo co Ja se vam divim lidi.

9.3.2023 10:24 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Windows 10 tablet = malý ntb (7-10") s odnímatelnou klávesnicí s x86 atomem nebo ultrabook intelem. Příkladem budiž MS Surface.
Před tím to byl Windows 8 s x86 CPU s tím, že měli nějaké pokusy s arm, říkali tomu Windows RT. Pak měli další pokusy, ale postupně to všechno umřelo.
Zdar Max

Měl jsem sen ... :(

9.3.2023 16:02 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

S linuxem se stal MS Surface s i3 procesorem před třemi lety opět použitelný.Na práci to není. Ale na čtení, nebo jako klient pro on-line konferenci ok.

9.3.2023 16:41 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jako klient pro online konferenci s MS Teams se u nás používá Apple iPad v nejvyšší pálce, tj. něco kolem 40kkč :-/.
Zdar Max

Měl jsem sen ... :(

9.3.2023 17:28 tak
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

a vydrzi 10 let, coz je levnejsi nez 5x jiny tablet za 12k

9.3.2023 17:45 luky
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

tie tablety na hudbu internetovanie pripadme kancelarsky balik uplne postacuju mam teraz v rukach windows 8.1 tablet yoga 2 8inch a je to super zariadenicko, je to osobnejsie nwz robit na pc ale mam aj tablet s windows 11 prd tym 10 a vsetko je to omsysteme tie nestastne updaty, indexovanie, furt to chce sa pripojit na net proste nechapem co tym microsoft zamysla ako chce smirovat ale co je moc je moc prave a pritom predpokladsm ze surface od ms je na tom rovnako takze system je taky slaby ako najslabsia sucast. ale oproti androdu aspon daco sa na tom da spravit inac odoorucam kazdemu onlyoffice a markdown editor na offline poznamky

9.3.2023 19:38 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Můžeš být aspoň trochu objektivní a nebýt takový fanatik? Nebo ti prostě jen ruplo v kouli?
Zdar Max

Měl jsem sen ... :(

9.3.2023 21:38 koroptev
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ne! Desktopvy linux je zlo, tabletovy zlo^2. Neni v tom nic osobniho ani fanatickyho, bojuju proti zlu a to je vse. Mnoho lidi to nevi nebo nevidi a je treba je pred desktopovym/tabletovym linuxem durazne varovat. Takze iPadOS je nejlepsi mozna volba.

10.3.2023 21:07 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Buď jen trolíš, nebo máš to pomatené zlo ve své hlavě. Každopádně obojí není dobrý.
Zdar Max

Měl jsem sen ... :(

2.5.2024 14:56 LuděkS | skóre: 31 | blog: publish | Liberec
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

+ 1

9.3.2023 10:45 hefo
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Androidove jsou sracky jiz z principu (prvni a posledni aktualizaci to dostane na vyrobni lince)

To nie je celkom pravda, Lenovo aktualizácie poskytuje (alebo aspoň poskytovalo), len to malo nepríjemný efekt, že nová verzia Androidu zaplnila viac RAM, a tak žiadna väčšia appka nemôže zostať bežať v pozadí...

9.3.2023 13:47 J
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Takze jenom potvrzujes ze jsou to sracky…

9.3.2023 11:12 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Samsung přešel na support 4+1 let. Jen nesmíš koukat na levné řady, ale alternativy k tomu iPadu.
Garantují 4 major upgrady OS a k tomu rok security.
Samsung se tedy dostává na podobnou délku supportu jako Apple. Google se k tomu také blíží, ale ten nemá úplně ok hw.
Zdar Max

Měl jsem sen ... :(

9.3.2023 15:29 ~
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Diky za vysvetleni, dulezite je to alternativy k tomu iPadu - zadne nejsou tudiz neni treba vyhazovat penize za android "tablety" a pak litovat.

9.3.2023 17:38 _
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

mazíček na´ám ujiždí na oficíčkách, ťuťuňuňu

Ja jsem za o365 rad. Tolik penez ktere vydelavame u security v souvislosti s o365 jsme nevideli. Pruser za pruserem. Powershell je kamarad.

8.3.2023 23:09 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Se ani nedivím, když každý měsíc vychází záplaty na remote code execution u všech supportovaných verzí Exchange. Jednomu by z toho jeblo.
Zdar Max

Měl jsem sen ... :(

A ja sem si rikal proc by nekdo pouzival takovou sracku jako IceWarp se kterym mam hodne blby zkusenosti, a ted vidim, ze jinde to neni o moc lepsi.

9.3.2023 10:11 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pro jednu dceru jsem před asi 8-10 lety nasazoval KerioConnect. Rozhodoval jsem se mezi Kerio, IceWarp a OSS řešením. IceWarp byl dražší a měl fce, které nebylo potřeba. OSS neměl potřebné fce a s placenými doplňky byl dražší.
Požadavek byl podpora ActiveSync a integrace s MS Outlook. Musím říci, že to byl skvělý kus software s velmi jednoduchou licenční politikou. Velmi nízké nároky na hw (končili jsme asi u 500 uživatelů s dvoujádrem a 4-8GB ram, asi 1,5TB mailů a skoro každý uživatel syncoval 8 mailboxů), web ksicht vždy naprosto svižný, update / upgrade na novou verzi byl bez hlášení odstávek, protože trval do 5min (s jednou výjimkou, kdy se předělávala struktura metadat).
Emaily na fs v eml, podpora archivu, kde šlo vyhledávat a exportovat maily atd. Naprosto transparentní řešení. Ze začátku byl porod s tím Outlook addonem, ale pak už to bylo ok. Hlavní problém byl náročnost, kdy to má lokální firebird db a nedává to velké objemy lokální keše, resp. jak uživatelé měli třeba 8 mailboxů, tak to zabíjelo PC na IO. Po přechodu na SSD to už bylo ok. Integrovaný chat a xmpp jsme nepoužívali.
Logy to mělo naprosto bombastický, buď dostupný přes web skicht s možností zvýrazňování, nebo pak v txt podobě na fs, kde to člověk mohl grepovat dle libostí. Chyběl nám tam jen audit log, který později také přidali a tím naplnili všechny naše požadavky.
Můj kolega dřív dělal v IceWarpu, ale je to už dávno. Nasazeno jsem ho viděl jen ve velkým u WEDOSu, který od toho utekl. Reálně jen vím, že je nabušen fcemi, má integraci s OnlyOffice a další fičůrky.
Zdar Max

Měl jsem sen ... :(

9.3.2023 10:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jinak co konkrétně tě na IceWarpu štve? Já jen ze zvědavosti, protože to neznám.
Zdar Max

Měl jsem sen ... :(

9.3.2023 19:19 aaa
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Uz je to par let kdy sem to musel naposledy pouzivat (nastesti), ale relativne casto se rozbila zakladni funkcionalita. Treba permissions na jednotlivy teamchaty byly nejaky spatny, takze cas od casu to proste nepridalo permissions pro dany lidi, takze sme museli vytvorit novou mistnost, tam to naklikat znovu a zahadne to fungovalo. Dalsi vec pak bylo ukladani plaintext hesel (base64 encoded, ale to je v zasade plaintext) vsech uzivatelu co se prihlasili pres webclient v logu (webclient pouziva methodu login, takze je vsechno videt v smtp logu). Obcas se nepodarilo smazat soubor z Documents a tak tam proste zustal trcet.

FJFI migrovalo z onprem Exchange na O365 v patek 2023-03-03 vecer. Ze pry par hodin vypadek a do pondelka bude urcite hotovo... Dneska, ve ctvrtek rano, porat prazdne mailboxy a reseni v nedohlednu.

Soudruzi z MS neumi ani transparentni master-slave sync, ktery se po dosazeni konzistence prepne do noveho masteru. V kazde normalni DB bez vypadku...

9.3.2023 10:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

U nás migraci zajišťovala třetí strana s certifikací, které jsem předpřipravil KerioConnect data (napsal script, vytahal kalendáře, úkoly, nastavil jednotné heslo do všech mailboxů atd.) a ta firma pomocí nástroje třetí strany provedla import přes Windows do Office 365. U kancelářských uživatelů se pak migrovaly i emaily přes Office 365 migrační nástroj, co to tahá přes imap.
Odstávka se protáhla neúměrně do zádele, abych byl slušný. Všechny testy prošly, všechno připraveno a v den D problém. Celé to pak bylo o tom, že importní nástroj v Office 365, který zajišťuje import z jiného serveru přes imap, neukazoval žádné logy, žádný progress atd. a na pozadí si běžel 2x, nebo víckrát a tím se to celé zpomalilo k šnečí rychlosti.
Bylo to podobné jako s těma logama v článku, pošleš požadavek a pak čekáš, až se v té černé díře něco stane a přijde ti výsledek.
Zdar Max

Měl jsem sen ... :(

9.3.2023 10:25 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

IMAP sync celeho serveru!? To nemaji ani nejaky dump->tar->ssh->untar->load? Fakt jak u blbejch na dvorecku... Ale vlastne MS, tak me to zas tak neprekvapuje.

9.3.2023 10:27 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jen přes tero emailů :). V té době asi nic jiného nebylo. Jak je to nyní, to nevím. Jedna dcera migruje z Exchange on-prem, tak jsem zvědavý, jak uspějí a jaký bude závěr.
Zdar Max

Měl jsem sen ... :(

9.3.2023 10:29 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Možná měli/mají import pst. Ale to by jsi každou schránku musel vyexportovat do pst a pak asi ručně naimportovat do Office 365.
Ten imap sync podporuje i rozdíly, takže šlo částečně migrovat online.
Zdar Max

Měl jsem sen ... :(

9.3.2023 17:24 kvr
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Otázka je, proč by ten tar/untar měl být rychlejší. Stejně to bude muset na druhé straně nějak naimportovat a indexovat. Doba jednoduchých mailbox a maildir je dávno pryč a na gigabytech už příliš dobře nefunguje. Pokud ten IMAP bude nějak slušně paralelizovaný, tak zabijou dvě mouchy jednou ranou.

(jako může to být jednom moje naivní představa a ve skutečnosti to je úplně blbě )

9.3.2023 18:48 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Protoze IMAP overhead pres TCP/IP overhead pro *kazdou jednu* pos(l|r)anou zpravu... Kdezto dump/load je jedno TCP spojeni kterym tece fullspeed jeden stream dat. Sam si muzes zkusit poslat po siti milion 1 kB souboru vs. jeden 1 GB soubor.

Doba maildiru neni pryc, jen je od urcite velikosti pohodlnejsi mit je treba v postresu nebo mariadb - protoze jak sam spravne rikas, bezne FS nedavaji statisice malych eml. Ale Utlouckej pst neni rozumna DB, to je jen mailbox se vsema jeho problemama (plus MS bugy a nekompatibility).

10.3.2023 16:59 kvr
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To je mi jasné, proto jsem psal paralelně. TCP latency pro request-response bude dalších 100 ms, spíš míň. Jeden uživatel může mít (když hodně nemaže) tak 10000-20000 zpráv, což bude 1000-2000 s celkem. S importem pro všechny uživatele paralelně tak bude mnohem větší brzdou samotný import na straně serveru a latence daná importem na zprávu.

13.3.2023 21:12 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Dneska, po deseti dnech migrace exchange--exchange, konecne hotovo.

13.3.2023 21:33 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Mohu se zeptat, jak jste velcí, a kdo zodpovídal za migraci? Zda interní IT, nebo externí firma?
U nás někdy v noci hodinka odstávky je ok, ale kdyby to den nejelo, nebo den nebyl přístup ke starým emailům, tak je to docela velký průser.
Zdar Max

Měl jsem sen ... :(

13.3.2023 22:34 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

FJFI CVUT, resilo fakultni IT s "Veeam Explorer for Microsoft Exchange" (netusim co to je, ale prisla od toho zprava ze migrace je hotova), radove nizsi tisice uctu. Deset dni nebyl pristup ke starym mailum. Shit happened.

13.3.2023 23:17 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Od známého vím, že CVUT řešila ESXi a Veeam a problémy. Ale to už bylo dávno. Veeam Explorer pro Exchange je jen způsob, jak dělat obnovu Exchange (mailboxů, konkrétních emailů atd.)
No nic, to se asi nejspíše budeš osobně znát s Kapicou :). Občas chodíme na poplk.
Zdar Max

Měl jsem sen ... :(

14.3.2023 08:39 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No nic, to se asi nejspíše budeš osobně znát s Kapicou :).

Prosím tě, nenech se vysmát. Potřeboval jsem teď něco řešit ohledně MediaWiki, a obrátil jsem se v té věci na Matěje Suchánka a Martina Urbance, se kterými jsem se seznámil na WikiMedia Hackatonu 2019. A víš co je vtipné? Ukázalo se, že Martin je na FITu a Matěj, kterého jsem občas potkával na chodbě, dělá od loňska na stejné katedře jako já. Jenže sedí ve vedlejším baráku kam moc často nechodím, protože tam nejsou laborky.

Jinak maily a mailservery jsou věc velmi ošemetná a jsem rád, že je nemusím řešit na jiné, než osobní úrovni. Dlouho mi nikdo nechtěl věřit, že se mi ztrácí maily. Až mi z ničeho nic jednoho krásného dne i s několikaletým zpožděním „přijely”. Pochopitelně už je nemělo smysl řešit.

14.3.2023 16:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak jsem zjišťoval, jak funguje migrace z Exchange on-prem do Office 365. Je to jednoduché a relativně seamless. Dělá se rozdílová migrace mailboxu a v čase D se ten mailbox, nebo skupina mailboxů, překlopí. Tzn., že výpadek pro tu skupinu mailboxů třeba 30min max.
Základem je tedy udělat AD sync do AzureAD a nastavit lokální Exchange do hybridnígho režimu a vše okolo.
Takový postup aplikuje jedna z našich dcer a nemají s tím problém. Resp. jediný problém je, že Office 365 zahodilo v lednu basic auth a jedou už jen oAuth, takže se aplikace psané pro EWS musí přepisovat, jelikož lokální Exchange v on-prem sice funguje, vše vidí, ale snad jediné EWS služby nevidí do Office365.
Jediná šance je tedy volat web služby přímo proti Office365 EWS s použitím moderního ověřování, tj. oAuth, vygenerovat tokeny, zaregistrovat app v Office 365 atd.
Zdar Max

Měl jsem sen ... :(

17.3.2023 22:07 Martin Bílý
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, přesně tak to kolega admin MS dělá. Jen je někdy potřeba několik hodin čekat, než se migrace povede. Dost to záleží na momentální náladě cloudu a zatížení databáze na vylosovaném cloudovém stroji.

V diskutovaném případě se migrovalo z on-prem Exch ze samostatné fakultní domény do celoškolského tenantu. Což je prý víceméně stejný postup. Na který ale bohužel nedošlo.

28.3.2023 22:14 Fofola
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

My jsme v dřívější práci migrovali tak, že jsem na Echange on prem. vyexportoval schránky do PST přes powershellový skript, PST se nahrály do Azure a naimportovaly do Exchange online. Externí firma to původně začala dělat tak, že na každé stanici odpojí Outlook od Exchange on prem., připojí k ExOL a schránka se sesynchronizuje z cache Outlooku (OST). Moc to ale nefungovalo, na server se někdy nahrála jen část mailů. Externí firma měla za sebou jednu migraci, kde jim jejich metoda fungovala, ale uživatelé tam měli malé schránky, nepoužívali sdílené kalendáře, sdílení schránek apod. Tak jsem našel to řešení s exportem.

29.3.2023 00:50 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jak jsem psal, migrace je jednoduchá a plně online. Dělat export do pst a další věci okolo, to nedává smysl a zbytečně to komplikuje věci.
Migrace prostě funguje tak, že se rozjede hybridní režim, O365 musí napřímo vidět na Exchange. Poté se pustí klasická migrace mailboxu, kterou lze provést rozdílově. Po migraci stačí restartovat outlook a on si sám načte info, že schránka byla zmigrována na jiný server a napojí se na O365. Odstávka mailboxu v rámci migrace tedy opravdu krátká (třeba 20min opravdu velký mailbox). Tento postup je odzkoušený a funkční, není to žádný výmysl.
Jinak takto lze migrovat průběžně schránku po schránce třeba týden, netřeba dělat žádnou hurá akci. Pokud je mail flow dobře nastaveno, tak se emaily vždy doručí a není problém.
Asi od ledna 2023 je pak změna v tom, že po restartu Outlooku je vyžadováno moderní ověření, ale pokud není zapnutý MFA, tak ze strany uživatele je to jednoduché.
Zdar Max

Měl jsem sen ... :(

29.3.2023 11:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ještě doplním, že aby fungovalo to s tím Outlookem (po migraci zavřít a znovu spustit a on si automaticky načte připojení do O365), tak je potřeba jeden zápis do registrů, v opačném případě se bude pokoušet o basic auth a díky vynucenému modern se nepřihlásí. Lze nastavit na všech klientech, na funkčnost on-prem připojení to nemá vliv.
Zdar Max

Měl jsem sen ... :(

29.3.2023 14:34 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A ja doplnim ze "modern auth" je jen buzzword a typicky microsofti mateni uzivatele. V mailovem klientu proste nastav OAUTH2 - Thunderbird to i sam spravne detekuje, mutt je potreba lehce pohackovat.

29.3.2023 14:58 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bavíme se tu o Outlooku. Jinak modern auth zastřešuje více technologií, které kolem toho mají postavených, nejen OAuth2.
Každopádně pokud se bavíme o MS technologiích, musíme mluvit řečí jejich kmene ...:).
Zdar Max

Měl jsem sen ... :(

29.3.2023 17:35 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bavime se o migraci emailu z/na Exchange :) A k tomu se umi pripojit nejen Utlouk (a je vyslovene kontraproduktivni mezi ne klast rovnitko)...

29.3.2023 18:05 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bavíme se o seamless migraci on-prem Exchange na Office 365. To znamená, že desktop app je v 99% MS Outlook. To, že Thunderbird podporuje od nějaké verze OAuth proti Office 365 vím, ale nechápu, jak to zapadá do této diskuse.
Píši, že MS Outlook stačí po migraci uživatelovo mailboxu zavřít a znovu spustit a on si vše upraví (podmínkou je jeden klíč v registrech, aby nezkoušel basic auth pořád dokola a pokusil se i o modern auth s MFA).
Pokud se vyskytuje uživatel s 3rd klientem, tak bude nutné asi ruční přenastavení klienta.
Zdar Max

Měl jsem sen ... :(

17.3.2023 21:58 Martin Bílý
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

V tomto konkétním případě nebyl problém na straně MS ani na straně VIC ČVUT. Detaily s dovolením zveřejňovat nebudu. (Pracuju na VIC ČVUT a krom jiného mám na starosti linuxové poštovní brány)

9.3.2023 18:08 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Mame domenu na O365 a pujdeme od nich pryc, je to cim dal vetsi sracka a zabugovane az hanba. Kam, to se momentalne resi, ale O365 je ze hry.

Jo a to MFA je taky super, najednou Outlook oznami, ze nastavuje "standardni zabezpeceni" a vsichni si musi nastavit MFA, nevim co kde zas komu u MS hrablo. WTF, lidi nejsou blbecci, nechte jim volbu :-/

Clovek potrebuje spolehlive sluzby, ne bazmek, co se furt meni pod rukama :-/

9.3.2023 19:41 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

MFA (povolení, vynucení apod.) se nastavuje v rámci tenantu a je to věc admina.
Zdar Max

Měl jsem sen ... :(

9.3.2023 21:40 Al
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jenze u mrakoveho O365 je tim adminem MS.

9.3.2023 22:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

U mrakového O365 je tím adminem správce tenantu, tj. nějaký admin z firmy, které ten tenant patří, případně nějaký outsourcovaný admin.
Zdar Max

Měl jsem sen ... :(

9.3.2023 23:34 Dirka | skóre: 15 | blog: dirka12345
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co te/firmu uprimne vedlo k tomuto pekelnymu experimentu?

10.3.2023 08:26 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Rozhodnutí managementu s tím, že když to má matka, tak to musí být super a vyzkouší se to na několika dcerách. Já byl jen technický poradce a pomáhal s migrací a dalšími věcmi, ale spravuje to někdo jiný. Jen občas, když se mi nechce rozjíždět kolečko požadavků, tak si to pořeším sám.
Maily ještě honíme přes vlastní mail relay právě kvůli tomu, abychom okamžitě měli k dispozici logy a archiv veškerých emailů.
Zdar Max

Měl jsem sen ... :(

17.3.2023 08:43 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jinak jsem pátral a možná máš polopravdu. Pravda je, že někdy začátkem roku deaktivoval MS basic auth a jediná možnost je už tedy modern auth.
V rámci modern auth se pak nastavuje i MFA, ale není to myslím povinné. Takže zřejmě to byla kombinace dvou věcí: Deaktivace basic auth a nevhodně nastavené výchozí hodnoty pro modern auth?
Za oboje ale zodpovídá správce tenantu, ten se o něj stará, ten musí vědět, že se nějaká funkcionalita ruší a zodpovídá i za nastavení.
Zdar Max

Měl jsem sen ... :(

Když už jsem si tu zaregistroval účet, tak si dovolím jedno doporučení. Nikdy si jako admini nenastavujte firemní mailflow pro příjem mailů "zvenku" tak, aby maily šly nejprve do on-prem Exchange a odtud teprve byly doručovány do online. MS svévolně modifikuje tělo MIME mailů. Takže při průchodu přes on-prem poruší DKIM a v online mail (v lepším případě) padá do spamu.

Konkrétně vím o dvou situacích. MIME preambule (This is MIME message...) je nepovinná a tak ji MS odstraní. U příloh (souborů) v záhlaví MIME části jméno souboru aktivně zabalí do uvozovek. Takto se chová on-prem i online.

17.3.2023 22:34 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Office 365 - Zkušenosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Auvejs...
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru