IT Blog - Jesper Ravn

Office 365 – Adgangs-link til O365 services

winblog — Sun, 20 May 2012 15:53:06 +0000

Man kan tilgå Offie 365 portal ressourcer og services på følgende måder.

Office 365 portal – Admin – OWA – Sharepoint – Lync – FOPE
http://portal.microsoftonline.com
http://login.microsoftonline.com

Reference til Office 365 portal:
Sign in to Office 365
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff637600.aspx

Direkte link til Outlook Web Access (OWA)
http://mail.office365.com
http://outlook.com/company.com
http://outlook.com/owa/company.com

Reference til OWA:
Configure Sign-In URLs for Outlook Web App
http://help.outlook.com/en-us/140/hh292586.aspx

How to Sign In to Outlook Web App
http://technet.microsoft.com/en-us/exchangelabshelp/ee410552.aspx

Direkte link Sharepoint
http://company.sharepoint.com

Direkte link til FOPE
https://admin.messaging.microsoft.com

Reference til FOPE:
Sign in and out of the Administration Center
http://technet.microsoft.com/en-us/library/ff715153.aspx

Error message when you try to access the FOPE Administration Center from the Office 365 portal: "Your username from federation is invalid or your account is disabled"
http://support.microsoft.com/kb/2545089

Direkte link til mobile devices
m.outlook.com

Reference til mobile devices:
Mobile Phone Setup Reference
http://help.outlook.com/en-us/en-us/140/cc825479.aspx

Exchange ActiveSync client connectivity in Office 365
http://blogs.technet.com/b/exchange/archive/2012/02/07/cross-site-redirection-exchange-activesync-clients-in-office-365.aspx

Support link til ovenstående
Office 365 URLs and IP address ranges
http://onlinehelp.microsoft.com/en-us/office365-enterprises/hh373144.aspx

Office 365 – Giv Admin Access til alle mailboxe i Exchange Online

winblog — Sat, 19 May 2012 17:00:29 +0000

Nedenstående PowerShell script giver en Admin eller migration account adgang til alle mailboxes i Office 365.

User Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘UserMailbox’) -and (Alias -ne ‘Admin’)} | Add-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all -automapping $false

Shared Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘SharedMailbox’) -and (Alias -ne ‘Admin’)} | Add-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all -automapping $false

Room Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘RoomMailbox’) -and (Alias -ne ‘Admin’)} | Add-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all -automapping $false

Nedenstående lister hvordan du fjerner de samme rettigheder igen.

User Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘UserMailbox’) -and (Alias -ne ‘Admin’)} | Remove-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all

Shared Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘SharedMailbox’) -and (Alias -ne ‘Admin’)} | Remove-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all

Room Mailboxes.
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘RoomMailbox’) -and (Alias -ne ‘Admin’)} | Remove-MailboxPermission –User Admin-User -AccessRights fullaccess -InheritanceType all

Reference til ovenstående.

Give an Administrator the Ability to Open and View the Contents of a User’s Mailbox
http://help.outlook.com/en-us/140/gg709759.aspx

Office 365 – ADFS 2.0 Rollup 2 er nu frigivet

winblog — Fri, 18 May 2012 17:43:30 +0000

Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 + Download
http://support.microsoft.com/kb/2681584

Office 365 – Artikler og guides til ADFS og Single Sign-On (SSO)

winblog — Thu, 17 May 2012 14:45:01 +0000

Nedenstående links giver et godt overblik og forståelse for ADFS og SSO i samspil med Office 365.

Single sign-on: Roadmap
http://onlinehelp.microsoft.com/en-us/office365-enterprises/hh125004.aspx

How Single Sign-On Works in Office 365
http://community.office365.com/en-us/w/sso/727.aspx

Understanding Identity Federation
http://blogs.technet.com/b/lystavlen/archive/2012/04/25/identity-federation-and-data-flow.aspx

Identify Yourself – One or Two Passwords?
http://blogs.technet.com/b/lystavlen/archive/2012/02/09/knock-knock.aspx

Office 365 Single Sign-On with AD FS 2.0 whitepaper
http://www.microsoft.com/en-us/download/details.aspx?id=28971

A federated user is prompted unexpectedly to enter their credentials when they access an Office 365 resource
http://support.microsoft.com/kb/2535227/en-us

How to diagnose single sign-on (SSO) logon issues in Office 365 by using Remote Connectivity Analyzer
http://support.microsoft.com/kb/2650717

How to troubleshoot computer issues that limit Office 365 single sign-on authentication
http://support.microsoft.com/kb/2530713

How to configure and to troubleshoot mapped network drives that connect to SharePoint Online sites in Office 365 for enterprises
http://support.microsoft.com/kb/2616712

Office 365 – Inactive Mailbox Users Report

winblog — Thu, 17 May 2012 10:31:45 +0000

Med Office 365 betaler man måndeligt for hver bruger. Derfor er det vigtigt at fjerne licensen for inaktive brugere.
Nedenstående PowerShell script finder alle Office 365 mailbox brugere der har været inaktive i mere end 30 dage.
For at kunne afvikle dette script, connecter man først op til Exchange Online og herefter til Microsoft Online Services, fordi cmdlet Get-MSOLUser er med.
Dette gøres ved at skrive Import-Module msonline og Connect-MsolService.

For mere info se nedenstående link.
Powershell connection til Office 365
http://jravn.dk/?p=393

# Generates a CSV file containing All inactive mailbox users.

# Retrieve mailboxes of users who have been inactive for more than 30 days
[array]$Mailboxes = Get-mailbox -ResultSize:Unlimited -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} |
Select Alias,DisplayName,PrimarySmtpAddress,UserPrincipalName,WhenChangedUTC | where {$_.WhenChangedUTC -lt (get-date).AddDays(-30)};

# Create an array to store the output
$Output=@();

# Perform a set of actions against each mailbox retrieved
foreach ($Mailbox in $Mailboxes)
{
[array]$ADUser = Get-MSOLUser -UserPrincipalName $Mailbox.UserPrincipalName;

foreach ($InactiveUser in $ADUser)
{
# Create a new object to store inactive users in our CSV file
$OutputItem = New-Object Object;

# Add information to the object
$OutputItem | Add-Member NoteProperty "Username" $Mailbox.Alias;
$OutputItem | Add-Member NoteProperty "Display Name" $Mailbox.DisplayName;
$OutputItem | Add-Member NoteProperty "Title" $InactiveUser.Title;
$OutputItem | Add-Member NoteProperty "Email" $Mailbox.PrimarySmtpAddress;
$OutputItem | Add-Member NoteProperty "Department" $InactiveUser.Department;
$OutputItem | Add-Member NoteProperty "Location" $InactiveUser.UsageLocation;
$OutputItem | Add-Member NoteProperty "Last change" $Mailbox.WhenChangedUTC;

# Add the object to our array of output objects
$Output += $OutputItem;
}
}
$Output | Export-CSV Inactive_Mailbox_Users.csv –NoTypeInformation

Download Inactive_Mailbox_Users her.
Inactive_Mailbox_Users

Office 365 – Import users to a Distribution Group

winblog — Thu, 17 May 2012 07:24:55 +0000

Nedenstående Powershell script importere brugere fra en CSV-fil til en Distribution Group.
Import-Csv "C:\Office365\PS\Users.csv" | foreach{Add-DistributionGroupMember -Identity "Distribution Group" -Member $_.alias}

CSV-filen inderholder alias/username som følger
Alias
username1
username2
username3

For at se om brugerne er kommet med i den ønskede gruppe, kan man afvikle nedenstående command.
Get-DistributionGroupMember –identity "Distribution Group"

Office 365 – Add permissions to a Mailbox/Shared Mailbox

winblog — Wed, 16 May 2012 18:41:52 +0000

For at give en enkelt person adgang til en Mailbox/Shared Mailbox, kan man afvikle nedenstående Powershell script.

add-MailboxPermission “shared Mailbox” -User user@company.com -AccessRights FullAccess -InheritanceType All -automapping $true
add-RecipientPermission “Shared Mailbox” –Trustee user@company.com -AccessRights SendAs -Confirm:$False

Hvis der er flere personer der skal have adgang, kan man benytte en CSV-fil med de ønskede brugere.
CSV formatet kunne her indholde Username/Alias, som vist nedensfor.

Alias
username1
username2
username3

Import-Csv "C:\Office365\PS\Users.csv" |
foreach{
Add-MailboxPermission "Shared Mailbox" -User $_.alias -AccessRights FullAccess -InheritanceType All -automapping $true
Add-RecipientPermission "Shared Mailbox" -Trustee $_.alias -AccessRights SendAs -Confirm:$False
}

Download Add_Permissions_From_CSV her.
Add_Permissions_From_CSV

Ligeldes kan man give permission til en Shared Mailbox udfra de personer der er i en bestemt Security/Distribution Group.

$Members = Get-DistributionGroupMember "Distribution Group"
foreach ($Member in $Members)
{
Add-MailboxPermission "Shared Mailbox" -User $Member.name -AccessRights FullAccess -InheritanceType All -automapping $true
Add-RecipientPermission "Shared Mailbox" -Trustee $Member.name -AccessRights SendAs -Confirm:$False
}

Download Add_Permissions_From_Security_Group her.
Add_Permissions_From_Security_Group

For at se om Mailbox permissions er sat for de rigtige brugere kan man afvikle nedenstående kommando.
Get-MailboxPermission “Shared Mailbox” | FL User, AccessRights, Deny

For at se om RecipientPermission er sat for de rigtige brugere kan man afvikle nedenstående kommando.
Get-RecipientPermission “Shared Mailbox”

Office 365 – ActiveSync Device Report

winblog — Wed, 16 May 2012 17:40:07 +0000

Nedenstående Powershell script lister alle brugere der har en ActiveSync (EAS) device connected op mod virksomhedens Office 365.
Scriptet benytter flere PowerShell cmdlet som merger informationerne ud til et samlet output i form af en csv-fil.

# Generates a CSV file containing User and ActiveSync Device Informations

# Retrieve mailboxes of users who have a connected ActiveSync Device
$CASMailboxes = Get-CASMailbox -ResultSize:Unlimited | Where-Object {$_.HasActiveSyncDevicePartnership -eq $true};

[array]$Mailboxes = $CASMailboxes | Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)};

# Create an array to store the output
$Output=@();

# Perform a set of actions against each mailbox retrieved
foreach ($Mailbox in $Mailboxes)
{
# Retrieve the ActiveSync Device Statistics for the associated user mailbox
[array]$ActiveSyncDeviceStatistics = Get-ActiveSyncDeviceStatistics -Mailbox $Mailbox.Identity;

# Use the information retrieved above to store information one by one about each ActiveSync Device
foreach ($Device in $ActiveSyncDeviceStatistics)
{
# Create a new object to store this ActiveSync device information in our CSV file
$OutputItem = New-Object Object;

# Add information to the object
$OutputItem | Add-Member NoteProperty "Username" $Mailbox.Alias;
$OutputItem | Add-Member NoteProperty "Display Name" $Mailbox.DisplayName;
$OutputItem | Add-Member NoteProperty "Email" $Mailbox.PrimarySmtpAddress;
$OutputItem | Add-Member NoteProperty "Device Type" $Device.DeviceType;
$OutputItem | Add-Member NoteProperty "Device Model" $Device.DeviceModel;
$OutputItem | Add-Member NoteProperty "Device Agent" $Device.DeviceUserAgent;
$OutputItem | Add-Member NoteProperty "Device OS" $Device.DeviceOS;
$OutputItem | Add-Member NoteProperty "Friendly Name" $Device.DeviceFriendlyName;
$OutputItem | Add-Member NoteProperty "LastSuccessSync" $Device.LastSuccessSync;

# Add the object to our array of output objects
$Output += $OutputItem;
}
}
$Output | Export-CSV EAS_Devices_Report.csv –NoTypeInformation

Download ovenstående PowerShell script EAS_Devices_Report her.
EAS_Devices_Report

Reference til ovenstående.

Exporting Exchange 2010 ActiveSync statistics for iOS Devices
http://gallery.technet.microsoft.com/scriptcenter/Exporting-Exchange-2010-aca5916a

Office 365 – Change Password og Password Notification for federated users

winblog — Wed, 16 May 2012 14:56:44 +0000

Med Password Notification sent via en e-mail, giver man brugerne besked om at deres password er ved at udløbe indenfor en kort periode.
Det er især vigtigt for de eksterne brugere der er oprettet i virksomhedens Active Directory, men hvor deres computere ikke er medlem af domænet.
Det vil typisk være brugere der har en funktion som konsulenter,praktikanter,agenter eller samarbejdspartnere til virksomheden.
Det kan også være fastansatte der sidder på små lokationer, hvor virksomheden har vurderet at etablering af VPN og infrastruktur ikke er fordelagtigt eller optimalt.
Virsomheden vil i stedet kunne tilbyde en række centrale IT services som følger:
Office 365 – Intunes – CRM Online – RDS (2008 R2).

Problemet er så bare at ingen af ovenstående services giver muligheden for at ændre eller resette et domain password.
For Office 365 federated brugere er password ikke stored i cloud, så man kan feks. ikke skifte password via Outlook Web Access.
For at skifte password for brugere, hvis computer ikke er med i virksomhedens Active Directory domæne, kunne løsningen være nedenstående services.

SMS PASSCODE® Password Reset Extension Module
http://www.smspasscode.com/product/passwordreset

Hvis man i forvejen benytter SMS PASSCODE, vil denne løsning være en naturlig forlængelse af den eksisterende SMS PASSCODE service.
SMS PASSCODE password portalen står her i DMZ bagved en TMG 2010 som ligeldes befinder sig i DMZ.
Nedenstående viser et kort udsnit af hvordan det fungerer.
For change password eller reset password, bliver man også afkrævet en SMS 2 faktor kode modtaget på sin mobil eller via SMS USB Token.

Eksempel på change password. Dette er en indbygget funktion i TMG 2010.

Eksempel på reset af Password via SMS PASSCODE Password Reset portal. Denne funktion bruges til at resette et glemt eller udløbet password.

Password Notification, bliver udført via 2 Powershell script.
1. Export_Password_Expires.ps1 (Danner csv-fil med domain brugere der skal skifte password)
2. SMTP_Password_Notification.ps1 (Sender e-mail til brugerne med Password Notification udfra csv-filen)

Export_Password_Expires.ps1 eksporterer alle brugere ud i en csv-fil, der skal skifte password indenfor de næste 21 dage. Denne værdi kan tilrettes efter behov.
Der er sat et filter på, så den kun medtager brugere der har en E-mail. Det vil i de fleste tilfælde frasortere admin og service accounts.
Dette script bliver planlagt til at køre, feks hver søndag kl. 02:00
scriptet kræver at man forinden installerer ActiveRoles Management Shell for Active Directory 64-bit 1.5.1, som kan downloades via dette link.
http://www.quest.com/powershell/activeroles-server.aspx

Download PowerShell scriptet Export_Password_Expires (Ændre her domain og OU)
Export_Password_Expires

SMTP_Password_Notification.ps1 sender en mail ud en gang om ugen til alle brugerne fra den føroprettede csv-fil.
Dette sctipt bliver planlagt til at køre samme søndag kl. 03:00
Det betyder at brugerne max. får 3 mails indenfor 3 uger med besked om at de skal skifte password, før det udløber.

Download PowerShell scriptet SMTP_Password_Notification (Ændre her domain, SMTP server, From address, link Password Portal, Helpdesk E-mail)
SMTP_Password_Notification

Reference til ovenstående.

AD Password Expires Script.
http://www.powershellcommunity.org/Forums/tabid/54/aft/8294/Default.aspx

Powershell Script to Notify Users of Expired or About to Expire Passwords in Active Directory.
http://randomtechminutia.wordpress.com/2011/11/18/powershell-script-to-notify-users-of-expired-or-about-to-expire-passwords-in-active-directory/

Nedenstående billede viser et eksempel på hvordan en mail med Password Notification kan se ud. Layout og tekst kan selvfølgelig tilrettes.

Office 365 – Opret/ændre e-mail + alias for federated users

winblog — Sat, 12 May 2012 09:50:11 +0000

For at angive Primary og Secondary e-mail for en federated user i Office 365, skal man gøre følgende.
Jeg antager her at man ikke har et hybrid setup med en Exchange server on-premise.
Start Active Directory Users and Computers. Under View vælg Advanced Features og gå til den OU hvor brugeren ligger i.
Vælg Properties for den ønskede bruger og vælg fanebladet Attribute Editor. Gå Herefter til proxyAddresses.
For at angive Primary e-mail, skal SMTP skrives med stort. Secondary e-mail skrives smtp med småt.

SMTP:username@company.com (Primary)
smtp:username@company.com (Secondary)

Ovenstående kan også sættes via Powershell, ved at skrive.
Get-ADUser jra -properties proxyaddresses | %{$_.proxyaddresses += @("SMTP:jr@jravn.dk","smtp:jra@jravn.dk"); set-aduser -instance $_}

For at ændre mailbox alias til feks username for en federated user, skal man vælge AD attributen mailNickname.
Man kan forinden via Powershell, se det eksisternede alias ved at skrive som følger.
get-mailbox username@comany.com | fl alias

mailNickname kan også sættes via Powershell, ved at skrive.
[string]$UserName = "jra" ; set-aduser -identity $UserName -replace @{mailNickname=$UserName}

Det betyder at når jeg i Outlook skal lave et opslag (Check Names) på en bruger, kan jeg både benytte fornavn,efternavn,username.

Lav herefter en DirSync for at synkronisere ændringerne op til Office 365. DirSync vil automatisk synkronisere hver 3 time.
På DirSync serveren kan man i Eventloggen se om synkroniseringen er gennemført uden fejl.
Man skal her kigge efter Event ID 4 i application loggen.

Reference til ovenstående.

You cannot assign a federated domain to a user in the Office 365 portal
http://support.microsoft.com/kb/2492140

How to use SMTP matching to match on-premises user accounts to Office 365 user accounts for Directory Synchronization
http://support.microsoft.com/kb/2641663

List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services
http://support.microsoft.com/kb/2256198

Find en Windows klients Logonserver

winblog — Fri, 11 May 2012 15:57:26 +0000

I forbindelse med debug af feks. AD Site Boundaries, GPO eller Logonscript ude på en Windows klient, er det rart at kunne se hvilken Domæne Controller klienten er blevet valideret af. Det kan være at klienten ikke bliver valideret af en HQ DC, men af en DC i et Branch Offices kontor som tilgåes via en WAN forbindelse.
Denne DC/Logonserver kan man se på en nem måde ved at at starte command prompt ude på klienten og skrive følgende.
set logonserver – Man vil herefter få vist klientes DC/Logonserver.

Samme information kan man få via PowerShell.
$a = $env:logonserver ; $a

God information omkring IT sikkerhed fra Microsoft

winblog — Fri, 11 May 2012 12:23:53 +0000

Nedenstående lister en række gode links til generel IT sikkerhed, guides og råd fra Microsoft.

Microsoft Security Intelligence Report – Seneste sikkerheds rapport
http://www.microsoft.com/security/sir/default.aspx

Conficker Remains a Threat.
Rapporten fortæller bla. at ormen Conficker stadigvæk er meget aktiv. I sidste kvartal af 2011 hærgede den mere 1.7 millionner computere verden over.
Conficker kom frem i november 2008, så det viser med alt tydelighed hvor vigtigt det er, at få sikkerhedsopdateret sine systemer.
http://www.microsoft.com/security/sir/story/default.aspx#!conficker

Managing Risk – Hvordan du beskytter din organisation
http://www.microsoft.com/security/sir/strategy/default.aspx#!section_1

Windows 7: Security and Protection
http://technet.microsoft.com/en-us/library/dd571075(v=ws.10)

IT Pro Security Tools
http://technet.microsoft.com/en-us/security/cc297183

Security and Control
http://technet.microsoft.com/en-gb/windows/aa905062.aspx?ITPID=proplan

Security Research & Defense
http://blogs.technet.com/b/srd/

Microsoft Malware Protection Center – Threat Research & Response Blog
http://blogs.technet.com/b/mmpc/

Malware Protection Center – Threat Research and Response
https://www.microsoft.com/security/portal/

Microsoft Security Blog
http://blogs.technet.com/b/security/

Windows 7 Security Forums
http://social.technet.microsoft.com/Forums/en/w7itprosecurity/threads?page=1

Internet Explorer 9 Security Part 1: Enhanced Memory Protections
http://blogs.msdn.com/b/ie/archive/2011/03/07/internet-explorer-9-security-part-1-enhanced-memory-protections.aspx

Internet Explorer 9 Security Part 2: Protection from Socially Engineered Attacks
http://blogs.msdn.com/b/ie/archive/2011/03/10/internet-explorer-9-security-part-2-protection-from-socially-engineered-attacks.aspx

Internet Explorer 9 Security Part 3: Browse More Securely with Pinned Sites
http://blogs.msdn.com/b/ie/archive/2011/03/11/internet-explorer-9-security-part-3-browse-more-securely-with-pinned-sites.aspx

Internet Explorer 9 Security Part 4: Protecting Consumers from Malicious Mixed Content
http://blogs.msdn.com/b/ie/archive/2011/06/23/internet-explorer-9-security-part-4-protecting-consumers-from-malicious-mixed-content.aspx

Windows 7 – Login lokalt uden at skulle skrive computernavn

winblog — Thu, 10 May 2012 21:27:21 +0000

Nogle gange har man behov for at logge ind på en domain tilknyttet Windows 7 computer med en lokal administrator account.
Syntaksen er her Computernavn\Admin Account.
For at få det lokale computernavn bliver man først nødt til at klikke på “Hvordan logger jeg på et andet domæne?”.

Man ser herefter nedenstående popup, hvor computernavnet er angivet.

Hvis ens computernavne nu er navngivet som feks. HPC-279816FC, kan man hurtig gå kold.
En nemmere måde er at angive login som følger.
.\Admin Account – Herved skiftes der automatisk fra domænenavn og over til det lokale computernavn.

Freeware PDQ Inventory

winblog — Wed, 09 May 2012 19:19:41 +0000

Med PDQ Inventory for du en nem og effektiv måde at udføre hardware og software inventory på for udvalgte computere og servere.
Installationen er meget enkel og kan afvikles fra din lokale laptop/desktop. Det betyder at du er i gang efter ganske få minutter.
PDQ er Active Directory integreret så du kan vælge at scanne alle computere i en OU. Man har også mulighed for at lave sine egne Inventory views.
Man kan med fordel benytte dette tool hvis man feks. hurtigt vil scanne en ektern lokation/Branch Offices i forbindelse med overtagelse af deres infrastruktur eller hvis man står overfor opgraderingsprojekter, som stiller krav til specifik hardware eller software.
Man har selvfølgelig også mulighed for at scanne en række udvalgte fysiske servere til feks drift-dokumentation.
Programmet kommer med sin egen standalone database-fil, så det kræver ikke nogen backend SQL server. Så her er programmet også meget fleksibelt.
Det laver inventory af alle ønskede hardware og software informationer (OS, S/N,Memory, Model, SP, Software Navn, Version, Antal o.s.v.).
PDQ Inventory kommer i en freeware version og en Pro udgave som koster penge.
I freeware version kan man ikke gemme sine rapporter, men man har mulighed for at eksportere sine inventory data til Excel, som jeg syntes er langt bedere fremfor en statisk html rapport. Freeware versionen har derfor opfyldt alle mine behov.

Download PDQ Inventory via nedenstående link og giv den en test.
http://www.adminarsenal.com/pdq-inventory/main

God guide til installation af SCVMM 2012

winblog — Tue, 08 May 2012 19:24:08 +0000

Jeg installerede i går den nye SCVMM 2012, som skal erstatte vores nuværende 2008 R2.
Jeg støttede mig til nedenstående guide som jeg syntes var rigtig god og målrettet.

Installing System Center Virtual Machine Manager 2012
http://terrytlslau.tls1.cc/2011/10/installing-system-center-virtual.html

Endvidere giver nedenstående link et godt overblik af de nye features.

Virtual Machine Manager 2012 – New features
http://rmlinar.net/blog/2012/03/29/system-center-2012-virtual-machine-manager/

Required roles and features for SCVMM 2012 er som følger:

Windows 2008 R2 + SP1
.NET Framework 3.5.1 (VMM server og console)
IIS (VMM Self-Service Portal)
WAIK for Windows 7 (Bare-metal provisioning)
http://www.microsoft.com/en-us/download/details.aspx?id=5753

Supporteret SQL Server: (SQL Express udgår)
SQL Server 2008 Standard/Enterprise + Service Pack 2 or Service Pack 3
SQL Server 2008 R2 Standard/Enterprise + Service Pack 1 or earlier

System Requirements: VMM Database.
http://technet.microsoft.com/en-us/library/gg610574.aspx

Typisk vil man installere SCVMM 2012 op mod en separat SQL server. I dette tilfælde skal man installere nedenstående SQL software på SCVMM serveren.

Microsoft® SQL Server® 2008 R2 Native Client
http://go.microsoft.com/fwlink/?LinkID=188401&clcid=0×409

Microsoft® SQL Server® 2008 R2 Command Line Utilities
http://go.microsoft.com/fwlink/?LinkID=188430&clcid=0×409

Inden man tilføjer sine eksisterende Hyper-V host til den nye SCVMM 2012 server, er det vigtigt at man forinden afinstallere den gamle VMM 2008 R2 manager agent, på de enkelte Hyper-V host, som er vist på nednenstående billede.

Efter SCVMM 2012 installationen er det også vigtigt, at man kører Windows Update endnu en gang for at få de seneste opdateringer med til SCVMM 2012.

Andre gode link som opfølgning til sin nye SCVMM 2012 installation.

How to Add Hyper-V Hosts in a Perimeter Network
http://technet.microsoft.com/en-us/library/gg610642.aspx

VMM 2012 Configuration Analyzer (VMMCA)
http://www.microsoft.com/en-us/download/details.aspx?id=29309
http://blogs.technet.com/b/scvmm/archive/2012/04/26/using-system-center-2012-virtual-machine-manager-configuration-analyzer-vmmca-to-resolve-common-issues.aspx

System Center – Virtual Machine Manager – Support forum
http://social.technet.microsoft.com/Forums/en-US/category/virtualmachinemanager

SMS PASSCODE – Two-factor authentication til Office 365

winblog — Fri, 04 May 2012 18:50:58 +0000

Med den nye version af SMS PASSCODE 6.0 får man et nyt komponent som kaldes Cloud Application Protection.
Det betyder at man nu får mulighed for at beskytte sin Office 365 web portal med SMS PASSCODE.
Denne nye klient/agent installeres således på alle servere i ADFS proxy farmen som er lokaliseret i DMZ og har samme fremgangsmåde i forhold til feks.
Citrix Webinterface eller RDS gateway. Det er således stadigvæk en super elegant løsning som er nem at installere og administrere.
Samtidig med at du har failover i din ADFS farm kan du også nemt få failover på dine interne SMS PASSCODE server (Transmitter Service)., som vist nedensfor.

For mig at se, er denne løsning et must for alle virksomheder som går over til Office 365 med ADFS og federated users.
Jeg har til dato ikke set nogen mere enkel og effektiv løsning end SMS PASSCODE. Samtidig er deres support også helt i top, hvis man har behov for hjælp.
Nedenstående viser hvordan det virker i praksis.

Jeg browser hen til Office 365 web portalen og klikker på mit user ID, som er husket fra min sidste session.

SMS PASSCODE tager over og spørger om mit Active Directory username og password.

Jeg indtaster herefter min sms passcode, som jeg har fået på min mobiltelefon.

Herefter har jeg nu adgang til Office 365 Web Portalen.

For mere info til SMS PASSCODE og Office 365, samt andre supporteret cloud produkter, se nedenstående links.

SMS PASSCODE® Version 6 delivers end-to-end cloud authentication and a new password reset module.
http://www.smspasscode.com/version6

SMS PASSCODE offers a more secure yet also more user friendly logon experience.
http://www.smspasscode.com/product/howitworks

BatchPatch – Central installation af WSUS opdateringer til Windows server

winblog — Fri, 04 May 2012 14:32:11 +0000

Typisk vil alle windows server få downloadet sikkerhedsopdateringer via WSUS serveren og blive manuelt installeret i et given servicevindue.
Med BatchPatch kan man Centralt installere WSUS sikkerhedsopdateringer til Windows servere som forinden er blevet downloadet fra den lokale WSUS server.
Hvis man ikke har fået udarbejdet et automatisk patch management workflow med feks SCCM og System Center Orchestrator er BatchPatch et godt bud på at få patchet sine servere på en nem og effektiv måde.

BatchPatch koster p.t for en single administrator licens $299 og kan købes fra nedenstående link.
http://batchpatch.com/purchase

For at komme i gang med BatchPatch kan man gøre følgende.

Download en trial version som give adgang til opdatering af 7 Windows servere, så man teste det af.
http://batchpatch.com/download

Udpak batchpatch.zip til feks. C:\batchpatch.
Sikre dig også at der er .NET Framework 4.0 installeret på den maskine du afvikler BatchPatch fra.
Kør BatchPatch med en domain account der har lokale administrator rettigheder ude på de enkelte servere.
Download herefter seneste version af PsExec via nedenstående link.
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

Udpak PSTools.zip og kopier filen PsExec.exe hen i den føroprettede BatchPatch folder.
Start PsExec.exe en gang for at acceptere License Agreement
Man er nu klar til at starte BatchPatch. Tilføjelse af server kan ske via import fra en tekstfil eller Active Directory.
Man kan også i starten vælge at indtaste de ønskede servere manuelt eller kopiere dem.

Marker alle serverne i listen og vælg Start Pinging. På den måde kan følge med når de genstarter og kommer tilbage igen.

Højre musetast på listen eller gå til Action menuen. Gå til WSUS og vælg som vist på nedenstående billede.

Klik på knappen OK.

Serverne bliver nu sikkerhedsopdateret og genstarter. Dette kan også ses ved TimedOut, som vist.

Når alle servere har været genstartet, vælg nedenståene handling for at være sikker på at få de sidste sikerhedsopdateringer med.

Jeg har kørt BatchPatch med +200 servere uden problemer.
Der hvor det kan drille er hvis man har ældre server med lav diskplads eller den indbyggede Firewall blokerer for WMI eller PsExec.exe.
Se også nedenstående link.

Using BatchPatch with Windows Firewall
http://batchpatch.com/using-batchpatch-with-windows-firewall

For yderligere hjælp, se BatchPatch support forum.
http://batchpatch.com/forum/

AD Tidy – Oprydning i Active Directory

winblog — Thu, 03 May 2012 16:51:49 +0000

Man kan med GUI applikationen AD Tidy rydde op i sine AD bruger og computer objekter på en nem måde.
Man kan feks. angive, at alle brugere der ikke har været logget på indenfor de sidste 90 dage skal disables og flyttes til en wipeout OU.
Det gøres på følgende måde.

Download og installer seneste version via nedenstående link.
http://www.cjwdev.co.uk/Software/ADTidy/Download.html

Start med at klikke på knappen Edit Search Settings.

Sikre dig at du står i det rigtige domæne. Vælg Find User Accounts. Vælg Do not include disabled accounts. Angiv antal dage.
Afslut med OK.

Klik på Search knappen. Ved et museklik vælg alle de listet brugere. Klik på knappen Perform Multiple Actions.

Vælg de ønskede handlinger og klik på knappen Add.

Klik herefter på knappen Perform Actions.

Alle de valgte user account bliver nu disablet. Klik på knappen Close for at udføre næste handling.

Alle user account bliver nu flyttet til Users OU’en under Wipeout. Klik Close for at afslutte den sidste handling.

Uploade profil billeder til Active Directory

winblog — Tue, 01 May 2012 21:50:40 +0000

Man kan uploade medarbejdernes profile billede til thumbnailPhoto attributten i Active Directory.
Profill billedet kan herefter ses af applikationer som feks. Outlook 2010 og Lync.

Dette kan gøres via Powershell, som Microsoft har beskrevet i nedenstående artikel.

Users cannot view or update their display picture in Lync 2010 when they connect to Lync Online in Office 365
http://support.microsoft.com/kb/2497721

En meget nemmere måde er dog at benytte AD Photo Edit, som er et GUI tool fra Cjwdev, og kan downloades fra nedenstående link.
http://cjwdev.co.uk/Software/ADPhotoEdit/Info.html

AD Photo Edit kommer som en freeware eller købe version. Købe versionen kan bulk uploade billeder udfra en csv fil.
Det kræver så at username fra csv stemmer med navnet på billedfilen. Jeg har dog benyttet freeware versionen uden problemer,
ved at oploade profil billeder hen over en periode.

For at kunne oplader billeder til Active Directory, kræver det at man har rettigheder. Det kan gives på følgende måde.
Opret en AD sikerhedsgruppe med et logisk navn som feks. ADpictures. Tilføj de brugere du ønsker skal kunne oploade billeder (IT-Support, HR mfl)
start Active Directory Users & Computers og vælg en top-level OU der indeholder de brugere du har tilføjet til din ADpictures sikkerhedsgruppe.
Højre musetast på top-level OU’en, som i dette eksempel hedder WinRoot. Vælg Properties, Security og klik på knappen Advanced.

Valg Add.

Skriv den føroprettede sikkerhedsgruppe. og klik på knappen OK.

Vælg fanebladet Properties, Vælg Descendant User Objects. Klik Allow under Write thumbnailPhoto. Afslut med at klikke OK til denne og de andre åbne forms.

De brugere der er medlem af gruppen ADpictures kan nu starte med at oploade medarbejder profil billeder med AD Photo Edit.
Best pratice er at billedet er under 10K og i formatet 96×96.

Office 2010 – Indsæt brugerinformationer

winblog — Tue, 01 May 2012 06:26:39 +0000

Når man starter en office applikation for første gang, bliver man bedt om at indtaste sine brugerinformationer.

Disse informationer vil således optræde som metadata i office dokumenterne.

Ens User name og Initials kan også ses under Word Options – Generel.

Man kan via Group Policy Preferences automatisere at indsætte disse brugerinfornationer, så man ikke første gang ser Username prompten.
Brugerinformationerne ligger i registry, som kan ses her.

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\UserInfo

Name = Company
Type = REG_SZ

Name = UserInitials
Type = REG_SZ

Name = UserName
Type = REG_SZ

Nedenstående billede viser GPP settings for UserInitials, hvor man benytter %LogonUser% til at få username.
Samme fremgangs benyttes til de 2 andre, hvor man kan hardcode Company navn.