Exchange 2013: impossibile accedere ad ECP

Uno dei problemi più fastidiosi che possa capitare ad un amministratore di un server Exchange 2013 (o di Exchange 2016…) è quello di non riuscire più ad accedere alla sua interfaccia amministrativa, chiamata ECP (Exchange Control Panel): “Impossibile accedere al sito” oppure “Errore configurazione XYZ” sono alcuni dei messaggi che si parano davanti alla vista del malcapitato.
Siccome l’accesso ad ECP avviene tramite un browser via protocollo HTTPS, una delle cause più comuni relative a questo problema riguarda l’installazione errata di un certificato SSL o di un certificato SSL “errato” all’interno del server di Exchange: la successiva assegnazione del ruolo IIS, oltre che quello del POP e dell’IMAP, tra le funzioni a cui è deputato il certificato, conduce allo stallo e alla conseguente incazzatura galattica da parte del povero admin.

Parentesi: fino ad Exchange 2010 compreso, l’accesso alla console amministrativa del prodotto avveniva tramite un’apposita applicazione, direi “a prova di certificato fallato”. Ora, va bene che tutto il mondo deve essere connesso, che i servizi “cloud” sono il nuovo Mantra da recitare in Casa Microsoft (e non solo) e che il browser web è la porta attraverso la quale bisogna accedere “al tutto”, ma prevedere una rapida via di uscita alternativa anche per Exchange 2013/2016, secondo me, non era una cosa impossibile da conservare tra i vari tools… Commettere errori è umano: in un mondo che corre veloce risolverli rapidamente è praticamente obbligatorio.

Qualcuno comunque potrebbe obiettare: si può rimediare al problema attraverso la cosiddetta “Exchange Management Shell”, la console amministrativa a riga di comando tramite la quale è possibile interagire con Exchange sparando bordate di fantastici comandi PowerShell. Sarà, ma con un problema del genere manco l’accesso alla “Management Shell” è consentito, come da screenshot intimidatorio sottostante:

Exchange 2013 - Exchange Management Shell in errore

Dopo tutte le cose brutte che ho descritto, è tempo di passare alla soluzione: è possibile rimediare al problema, in maniera un po’ tortuosa, a patto di avere a bordo del server di Exchange un certificato SSL valido, magari uno di quelli autofabbricati e autofirmati dal programma al termine della sua installazione.

Procedimento: tramite il “Pannello di Controllo” del server Windows che ospita Exchange bisogna accedere agli “Strumenti di Amministrazione” e quindi a “Gestione Internet Information Services (IIS)“. Nel riquadro di sinistra della finestra che si apre evidenziare col mouse il nome del server che ospita Exchange: nel riquadro di destra tra le varie icone è presente “Certificati del server” all’interno della sezione “IIS“. Qui si può visualizzare l’elenco dei certificati installati a bordo, compreso quello che ha causato il blocco del nostro ECP, come evidenziato sotto, utilizzando un’opportuna Virtual Machine per effettuare i test:

Exchange 2013 - certificato errato

A questo punto è giocoforza necessario rimuovere il certificato errato ed assegnarne uno nuovo (valido), tra quelli presenti nell’elenco, al server web che ospita ECP (oltre ad OWA, EWS, ecc. ecc.). Sempre nel riquadro a sinistra, evidenziare “Default Web Site” e fare “clic” col tasto destro del mouse, quindi nella finestrella che si apre scegliere l’opzione “Modifica binding…” :

Exchange 2013 - modifica binding

Nella finestra “Binding sito” selezionare “https” (indirizzo IP “vuoto”) e scegliere “Modifica…“:

Exchange 2013 - modifica binding

Nella finestra “Modifica binding sito” assegnare al protocollo “https” un certificato SSL valido tra quelli che compaiono nel menu a tendina e confermare l’operazione col pulsante “OK“:

Exchange 2013 - modifica binding

Ripetere l’operazione sopra anche per il protocollo “https” con indirizzo IP “127.0.0.1” (localhost).

Giunti a questo punto bisogna riavviare il server di Exchange e al successivo login l’amministratore dovrebbe riuscire nuovamente ad accedere al tribolato “Exchange Control Panel”!

 

 

 

L’infestazione del gossip

Non se ne puo’ più, anzi, non ne posso più! Capisco che le chiacchiere da bar (dette altrimenti “gossip”) facciano un sacco di rumore e di conseguenza attirino un sacco di boccaloni (pardon, persone ingenue e credulone). Quello che non sopporto è che questo andazzo abbia infettato giornali “seri”, o perlomeno lo erano una volta…

La prima pagina del CorSera online è tutto un fiorire di ammiccamenti, cosce e orpelli vari. A Belen Rodriguez l’abitino capriccioso e impertinente svolazza puntualmente, mentre la sempre troppo indaffarata (a far che?!?) Anna Tantangelo finalmente si riposa a mollo dell’acqua di una limpidissima piscina snob:

Belen Rodriguez - Anna Tatangelo, Corriere della Sera 9 giugno 2017

Bar Refaeli preferisce sculettare stando a bordo piscina (non sa nuotare?), mentre la “povera” Renée Zellweger, alias Bridget Jones, compare imbruttita come non mai:

Bar Refaeli - Renée Zellweger, Corriere della Sera 9 giugno 2017

Se il bel maschietto nonché Principe Emanuele Filiberto molto regalmente ci mostra come infornare una pizza Margherita, più sotto nella homepage una tizia scosciata sulla battigia ci mostra invece come si inforcano dei fantastici costumi da bagno “high-tech”:

Emanuele Filiberto - Modella in costume, Corriere della Sera 9 giugno 2017

Vi risparmio le immagini delle mogli dei calciatori (dette anche “wags” – un termine peggiore non poteva esistere) in vacanza in qualche paradiso terrestre – in attesa di vederle finalmente in esilio su un asteroide di passaggio – e quelle della sostituta di Pamela Anderson nella nuova serie di «Baywatch»: il costumino rosso fa sempre un certo effetto, si sa…
Morale tragicomica: Corriere della Sera, dove andremo a finire (o siamo già finiti)?

 

Switch Off

Il termine anglosassone “switch off” fa venire in mente un po’ di cose: in primis il (travagliato) passaggio dalla TV analogica al digitale terrestre, ad esempio. Ma anche la necessità di un salutare riposo dopo una giornata stressante, oppure più banalmente lo spegnimento di un cellulare o di un televisore.
Meno banalmente, non farebbe certo pensare all’annichilimento di un’intera compagnia aerea, del calibro di British Airways, in quanto pare che un addetto alla manutenzione di un impianto abbia operato il “clic” sbagliato su un interruttore… Tutto molto “british”, appunto, quasi come nella famosa scena del test delle luci all’interno di un grande magazzino, in un episodio della serie Mr Bean (Merry Christmas Mr Bean)!

VMware: collegare periferiche USB in modalità “passthrough”

Più che un articolo, questo è una specie di promemoria su come installare e configurare delle periferiche USB (ad esempio dei semplici dischi fissi esterni) collegate ad un server fisico e poi ad una macchina virtuale VMware.
I prerequisiti sono i seguenti:

  • La versione di VMware vSphere/ESXi deve partire almeno dalla 4.1
  • La macchina virtuale che deve collegare la periferica USB deve avere un hardware almeno a partire dalla versione 7
  • La periferica USB può essere collegata SOLO ad una macchina virtuale alla volta (quindi, se è gia’ connnessa ad una VM bisogna rimuoverla da quest’ultima prima di ricollegarla ad un altra VM)
  • Ovviamente la macchina virtuale deve avere installato il controller USB nel suo “virtual hardware”
  • Per connettere una periferica USB in modalità “passthrough” ovviamente occorrono un “USB Arbitrator” che gestisce il traffico generato dalle periferiche, un “USB Controller” sull’hardware fisico e un dispositivo USB o un “device Hub” da collegare …

Ciò premesso, la procedura di installazione della periferica USB in modalità “passthrough” è la seguente:

  • Se accesa, spegnere la macchina virtuale interessata all’aggiunta del nuovo hardware
  • Fare “clic” col tasto destro sulla VM e selezionare “Edit Settings” e quindi il tab “Hardware”
  • Scegliere “Add…” e poi “USB Device” dall’elenco dei dispositivi, quindi “Next”
  • Selezionare il dispositivo USB tra quelli che compaiono nell’elenco e che di conseguenza sono collegati all’hardware fisico
  • Fare “clic” su “Finish”. A questo punto il nuovo hardware sarà presente nella lista di quello installato
  • Premere “OK” per salvare i cambiamenti e chiudere la finestra delle proprietà della VM

Avviando nuovamente la macchina virtuale, la nuova periferica USB dovrebbe apparire all’interno delle sue periferiche collegate e disponibili all’uso.

Riferimenti:  “Add a USB Passthrough Device to a Virtual Machine

Il servizio Workstation non si avvia

Scenario: in una macchina virtuale Windows Server 2003 (ebbene sì, in giro ce ne sono ancora diverse in uso…) recentemente migrata su una nuova piattaforma e quindi riconfigurata, il servizio Workstation non ne vuole sapere di partire e di conseguenza non si avviano i servizi che sono alle sue dipendenze. L’effetto maggiormente visibile è l’isolamento del computer (virtuale) dal resto della rete.
Una delle possibili cause è la sostituzione della scheda di rete virtuale con un altro modello (tra l’altro, vedremo in un articolo successivo un problema legato a questo genere di upgrade), ma ovviamente potrebbero essercene delle altre – basta cercare con un motore di ricerca per rendersene conto.

La buona notizia è che, in un paio di occasioni, la rapida soluzione al grattacapo è passata attraverso la semplice cancellazione di un paio di chiavi di registro tramite l’utility “Regedit”. Come di consueto, si raccomanda la massima cautela nell’utilizzo di questo potente strumento:

  • avviare Regedit ( Start => Esegui => Regedit )
  • sfogliare il registro: HKEY_LOCAL_MACHINE => SYSTEM => CurrentControlSet => Services
  • aprire la posizione “lanmanworkstation“: all’interno ci sono due chiavi, denominate “DependOnGroup” e “DependOnService” che vanno eliminate (al limite effettuare un backup precauzionale delle due chiavi di registro prima di procedere)

Riavviare la VM: il servizio Workstation ora dovrebbe essersi avviato regolamente e di conseguenza la nostra macchina virtuale dovrebbe essere ritornata operativa all’interno della rete lan. Qui sotto riporto uno screenshot evidenziando le due chiavi di registro incriminate:

Ripristino servizio Workstation - Cancellazione chiavi di registro

Riferimenti:

 

Una bianca mattina di primavera

Una bianca (e fredda) mattina di primavera: la pioggia tanto attesa ha portato con sé anche un repentino abbassamento delle temperature, soprattutto nelle prime ore del giorno. Il risultato me lo sono trovato davanti agli occhi: scendendo lungo la strada che porta a Dolzago, mi sono fermato un istante per scattare la foto seguente nei pressi del campo sportivo di Ello:

Cornizzolo e Corni di Canzo imbiancati in primavera - 28.04.2017

Il monte Cornizzolo assieme ai tre Corni di Canzo sembrano formare una fetta sgangherata di panettone ricoperta di zucchero a velo…

Account Exchange ed Apple iPhone: storia di una “lotta”

La storia dell’Informatica è piena zeppa di lotte senza esclusione di colpi tra giganti dell’industria: se i duelli in tribunale sono meno frequenti, i “dispetti” reciproci sono all’ordine del giorno. Apple e Microsoft, ovviamente, non fanno eccezione e la cosa curiosa è che dichiarano di agire sempre nel bene del consumatore (poverello lui), avendo spesso una visione diversa del presente e dei relativi problemi.

La configurazione e la convivenza degli account di posta aziendale sui dispositivi Apple, realizzati tramite Microsoft Exchange, segue lo stesso travagliato percorso. Bisogna innanzitutto dire che, per risolvere il problema a monte ed una volta per tutte, sarebbe di gran lunga preferibile munirsi di certificati digitali, rilasciati da Autorità di Certificazione indipendenti (DigiCert, GoDaddy, Comodo, ecc. ecc.), da installare a bordo del server di posta Exchange in oggetto.
Per chi non vuole intraprendere questa strada risolutiva e si ostina per “n” motivi a perseguire invece quella dissestata dei certificati SSL auto-firmati, di seguito fornisco alcune indicazioni per evitare che il dispositivo si rifiuti di accettare un certificato di “provenienza sconosciuta”, avvertendo che IOS 10.x è diventato ancor più restrittivo riguardo l’uso di simili strumenti (durante la configurazione, è sparita l’opzione “Ignora – e prosegui” e sono rimaste le altre due scelte, “Torna indietro” e “Annulla”…).

Procedo con ordine, partendo dalla soluzione più semplice fino a quella più complessa, consigliando di seguire quest’ordine e saltare al passo successivo nel caso quello precedente non abbia sortito alcun effetto:

  • Disconnettere la connessione Wi-Fi, aspettare un minutino e quindi riconnettere il Wi-Fi
  • Controllare sul dispositivo che Data e Ora siano corrette
  • Cancellare tutta la cache del browser Safari
  • Cancellare e quindi reinserire l’account Exchange e il relativo Server SMTP nelle impostazioni del telefono
  • Configurare sull’iPhone un account di posta “alternativo” (Yahoo, Gmail, …), inviare tramite quest’ultimo il certificato SSL di Exchange, quindi installarlo sullo smartphone (di solito basta farci sopra un “doppio clic”)
  • Cancellare l’account Exchange, configurare un account utilizzando l’opzione “Altro”/”Others” e scegliere di impostarlo su un server IOS (Nota bene: nello spazio dedicato al nome del server di posta/”Host Name” inserire quello che punta verso il server di posta Exchange – ad esempio: webmail.myserver.com). Durante l’installazione comparirà ancora l’allerta relativa al tentativo di utilizzo di un “certificato non sicuro”, ma questa volta è possibile accettarlo (a proprio rischio e pericolo). Giunti a questo punto, sull’iPhone bisogna ritornare alla sezione dedicata all’aggiunta di un nuovo account di posta elettronica, scegliere il tipo di account “Exchange” e quindi inserire i dati per la sua corretta configurazione. Tutto dovrebbe tornare a funzionare…

Nota Bene: pare che tutto questo trambusto riguardi solo gli smartphone della Casa della mela morsicata – come già detto, soprattutto i dispositivi più aggiornati a partire da IOS 10 – mentre iMac, MacBook e persino iPad sembrano (per ora) immuni a questa seccatura.

La passione

La “passione” per qualcosa, in linea di massima, è il motore che spinge un individuo a dare il meglio di sé per eseguire nel migliore dei modi un determinato lavoro; in campo artistico è il “fuoco” che dovrebbe ardere dentro ogni artista degno di questo nome.
Diceva Ludwig Van Beethoven:

Suonare una nota sbagliata è insignificante, suonare senza passione è imperdonabile.

Nel mio piccolo, io ce la metto tutta…

Era meglio stare zitti

Il cosiddetto scandalo “Russiagate” miete altre vittime, questa volta non direttamente collegate con la neo eletta amministrazione americana del Presidente Donald Trump.
L’attrice della serie TV «Sex and the City», Sarah Jessica Parker, ha pubblicato un post su Instagram (tra l’altro non è farina del suo sacco – tal James Michael Nichols sembra sia esserne l’autore) a proposito delle frequentazioni dell’ambasciatore russo  alla Casa Bianca, Sergey Kislyak, con buona parte della staff presidenziale americano: «Tutti hanno incontrato l’ambasciatore russo, tranne me».
Pronta la fredda replica (del resto non potrebbe essere diversamente…) via Twitter del Ministero degli Esteri russo: «Sarah, se lo desideri così tanto, ti possiamo aiutare a incontrare l’ambasciatore russo. Tutto è possibile. Sergey Ivanovich (Kislyak, ndr) ne sarebbe felice».

Quando si dice “A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio” (Oscar Wilde)…