Exchange Server Support for Windows Extended Protection
Exchange Server Support for Windows Extended Protection
اعلنت مايكروسوفت انExchange Server بقى بيقدر يشتغل مع Windows Extended Protection بالتحديد بعد اصدارالابديت August 2022 SU وقبل ما نبدء فى شرح الموضوع ده هات كوبايه القهوه بتاعتك وركز معايا
ايه هو Windows Extended Protection ؟
هو تحسنات فى مستوي السكيورتى عندك فى الشبكه تقدر بيها انك تقلل او تمنع حدوث man in the middle attacks او authentication relay عندك فى الشبكه وبالتحديد من اول اصدار IIS 7.5 فيما فوق
مش عاوز ادخل فى تفاصيل كيفيه عمل Windows Extended Protection لانه موضوع يطول شرحه وده مش موضوعنا الاساسى وممكن نبقى نكتب مقال تاني بيتكلم عن الموضوع ده وتقدر تعرف اكتر عنه من المصادر
اللى عاوزك تعرفه دلوقتى ان Windows Extended Protection بيشتغل عن طريق حاجه من الاتنين
Channel-binding information بيشتغل عن طريق Channel Binding Token (CBT) : وده الاسلوب اللى بيستخدمه Windows Extended Protection معٍSSL بالتحديد وده اللى بيشتغل مع Exchange
Service-binding information بيشتغل عن طريق Service Principle Name (SPN) : وده الاسلوب بيستخدمه Windows Extended Protection مع الكونكشن اللى مش بيستخدم SSL او مع الحالات اللى بتسخدم SSL-offloading
نرجع بقى Exchange وقبل ما اقولك ازاى تشغل الموضوع ده لازم تعرف انه فى حاجات كتير لازم تتاكد منها قبل ما تفكر تطبق الموضوع ده عندك
اول حاجه انك تكون متاكد انك منزل اخر CU update وكمان SU update على كل Exchanges Servers عندك
لو لسه بتستخدم Public Folder بالتحديد على Exchange Server 2013 فى الحاله دي لو انت عندك اكتر من Exchange Version فى الشبكه coexistence Scenario اعمل مايجريت Public Folder على Exchange 2016 او Exchange 2019 لو ماعندكش غير Exchange 2013 فى الشبكه يبقى مش هينفع تفعل Extended Protection لانك بمجرد تفعلها Public Folder هيختفي
لازم تعرف ان Windows Extended Protection بيتشغل مع SSL bridging ومش بيشتغل مع SSL offloading والامثله التاليه تفكرك الفرق بين SSL bridging و SSL offloading
SSL Offloading = Client —–HTTPS—-> NLB—–HTTP—> Exchange Servers
SSL Birding = Client —–HTTPS—-> NLB—–HTTPS—> Exchange Servers
ومن النقط المهمه للناس اللى عمله انتجريشن Exchange Server مع Office365 ان Extended Protection مش هينفع مع السرفيرالمستخدمه فى Modern Hybrid configuration من خلال Hybrid Agent والحل هنا انك ماتفعلش Extended Protection على السرفير دى بالتحديد لانه هيعملك مشاكل فى mailbox migrations & Free/Busy وخصائص غيرها
مش هينفع تفعل Extended Protection عندك لو لسه بتستخدم NTLM V1 او بتسخدم اى اصدار قديم من TLS ولازم تكون مفعل TLS1.2 على كل Exchange Servers
بعد كل المقدمه دى ياله بينا بقى نفعل Extended Protection على Exchange Servers عندنا اول حاجه هنعمل دونلود للسكربت اللى مايكروسوفت عماله بيقدر بيفعل Extended Protection على Exchange Servers مره واحده https://github.com/…/ExchangeExtendedProtectionManageme…
بعد ماتنزل الاسكربت هتقدر تشغله من على اى Exchange node او حتى من على اى جهاز عليه Exchange Management Console عن طريق الامر ده
.\ExchangeExtendedProtectionManagement.ps1
السكربت هيتاكد الاول ان كل المتطلبات اللى ذكرنها فوق موجوده وبعديها هبيتدى يفعل Extended Protection على Exchange Servers واى Server مش هيقدر يوصله او يفعل عليه Extended Protection هيقولك اسمه وسبب المشكله
فى حاله لو عاوز تتجنب بعض Exchange Server زى ما قولنا مثلا فى حاله Modern Hybrid configuration نقدر نستخدم الامرده وفى الحاله دى هو هيفعل Extended Protection على كل السرفيرات ماعدا السرفير اللى اسمه موجود بعد -SkipExchangeServerNames
.\ExchangeExtendedProtectionManagement.ps1 -SkipExchangeServerNames HybridServer1, HybridServer2
فى حاله حدوث اى مشكله مع الاوت لوك مثلا او مع اي برنامج كانت متصل بال Exchange تقدر تعمل rollback وترجع الاعدادات زى ماكنت عن طريق الامر ده
.\ExchangeExtendedProtectionManagement.ps1 –RollbackType “RestoreIISAppConfig”
اخيرا لو هظرهلك اى مشكله فى سرفير مثلا بسبب بورت او اى سبب تانى تقدر تحل المشكله وتشغل الاسكربت مره تانيه وهو هيقدر يشوف السرفير اللى فعلا Extended Protection متفعل عليها والسرفير اللى مش متفعل عليه وهيقدر انه يفعله وفى مشكله قبلتنى اكتر من مره انه احيانا يقولك انه مش قادر يتصل ببعض السرفيرات ومابيكونش فى مشكله فى السرفير فعلا وحلها انك تشغل الاسكربت مره كمان مش اكتر
حاولت ابسط الموضوع على اد مااقدر لانه فعلا موضوع كبير وتقدر تتعمق فى الموضوع عن طريق المصادر
https://microsoft.github.io/…/Secu…/Extended-Protection/