TechNet · Englische TechNet Blogs · TechNet Deutschland · itproblogs.de · .NET Blogs

Arnd Rößner: Windows 10: Microsoft detailliert Unterschiede der einzelnen Editionen

Windows 10: Microsoft detailliert Unterschiede der einzelnen Editionen – heise online

Carsten Rachfahl [Private Cloud]: Outlook 2016 cooles Feature

Seit Donnerstag setzte ich den Preview von Office 2016 bei mir ein. Mit Outlook stehe ich dabei auf Kriegsfuß, weil ich aus irgendeinem Grund schon zwei Mal ein neues Profil erstellen musste. Das liegt eindeutig an meinem On-Premise Exchange Konto, aber ich weiß noch nicht woran es genau liegt. Heute stolperte ich über ein super […]

Carsten Rachfahl [Hyper-V]: Erzeugen einer Übersicht der Hyper-V Umgebung per PowerShell

Vorlage-Button-WinServ2012R2_thumbIch bin in letzter Zeit über ein paar Scripte gestolpert, welche eine Art Inventarisierung von einem Hyper-V Host, mehreren Hosts oder einem kompletten Cluster machen. Das Erste, was ich hier gerne vorstellen möchte, wurde von Serhat Akinci geschrieben. Serhat ist MVP und arbeitet in der Türkei. Sein Script ist mittlerweile in Version 1.5 erschienen und macht einen super Job.

Das Script bekommen Sie über TechNet, es trägt die komplette Bezeichnung Hyper-V Reporting Script (Powershell & HTML). Nach dem Download haben Sie verschiedene Möglichkeiten, dass Script anzuwenden. Bei dem Check von einem einzelnen Host oder mehreren Systemen, die nicht in einem Clusterverbund laufen, verwenden Sie den folgenden Befehl:

.\Get-HyperVReport.ps1 -VMHost Hyperv1,Hyperv2, …

Bei dem Test eines Failover Cluster verwenden Sie den Befehl

.\Get-HyperVReport.ps1 -Cluster Hvcluster

image

Als Ausgabe erhalten Sie eine .html-Datei, welche eine sehr gute Übersicht über Ihre aktuelle Umgebung zeigt.

image

Den kompletten Bericht hier auszuführen wäre ein bisschen viel, schauen Sie sich das Script einfach mal an, wenn Sie schnell und unkompliziert eine Übersicht über Ihre Umgebung haben möchten.

Carsten Rachfahl [Private Cloud]: MVP-Fusion Zusammenfassung

Erst einmal vielen Dank an das Orga-Team der MVP-Fusion: Hans Brender, Holger Wendel, Peter Nowak und Raphael Köllner für die tolle Organisation, die super Informationen und Tests im Vorfeld, die aufbauenden Worte, ja und überhaupt. Ihr seid einfach Klasse! Meine Session wird auch auf Channel 9 veröffentlicht. Den Link dazu liefere ich in diesem Blogpost […]

Willmar Heinrich: Plantronics-Headsets – Erfahrungen über Jahre

Es ist schon etliche Jahre her und ich hatte schon viele verschiedene Headsets für mein Handy (Meine Ohren sind sehr flexibel). Meine Frau, die naturgemäß viel länger telefoniert als ich, konnte sich dagegen nie mit einem Headset anfreunden, zu klein, zu groß, zu dick, zu dünn, zu leicht, zu schwer…. Eines Tages schlendern wir durch […]

Carsten Rachfahl [Hyper-V]: Probleme bei der Nutzung von Teaming unter Windows Server 2012 R2

Vorlage-Button-WinServ2012R2_thumbIn einem unserer Projekte hatten wir neulich den Fall, dass die Nutzung von Netzwerkkarten-Teaming dazu führte, dass die Server manchmal nicht reagierten, sich teilweise mit einem Bluescreen verabschiedeten und manchmal einfach in dem aktuellen Fenster einfrierten. Dieses Verhalten ließ sich besonders gut rekonstruieren, wenn ein NIC Team erstellt und danach wieder entfernt wurde. Das Verhalten trat auf mehreren Servern auf, eine wirkliche Gemeinsamkeit ließ sich jedoch nicht wirklich feststellen.

Zum Einsatz kommen Server von HP aus der Generation 8 und der Generation 9. Der eine Gen8-Server hatte nur die von Werk aus verbauten 4x 1 GbE NICs, die vier Gen9-Server hatten sowohl 1 GbE als auch 10 Gbe NICs von Chelsio verbaut. Unabhängig von NIC und/oder Server trat der Fehler immer wieder auf. Da es sich um einen gemeinsamen Fehler handelte und die Server alle Mitglied der gleichen Active Directory waren, haben wir einen der Server komplett neuinstalliert (sowohl über die HP-Variante als auch direkt von der Microsoft-ISO) und haben die Probleme sowohl als Workgroup-, als auch als AD-Mitglied nachstellen können. Einen Treiber konnten wir indirekt ausschließen, da die Server verschiedene Karten von unterschiedlichen Herstellern hatten. Ein gemeinsamer Fehler im BIOS müsste sich ebenfalls über Generationsgrenzen fortgeführt haben, und in diesem Fall wären wir sicherlich nicht die Ersten, die diese Probleme haben.

Wir haben die geplante Installation dann irgendwann abgebrochen und es wurde ein Supportfall bei Microsoft und einer bei HP eröffnet. Der Microsoft-Support hat letztendlich herausgefunden, dass es eine Einstellung in den Netzwerkkarten (bzw. eine globale Einstellung) ist, die unsere Probleme erzeugt hat. Das Problem wurde auch in einem Technet-Artikel beschrieben, allerdings ausschließlich in Japanisch: https://support.microsoft.com/en-us/kb/2908489/ja

Da mein Japanisch ein wenig eingerostet ist, haben wir dies natürlich nicht gefunden ;) Sobald das TCP/IP Task Offloading aktiviert ist, treten die Probleme nicht mehr auf und es kann problemlos mit den Servern gearbeitet werden. Einschalten kann man diese Funktion mit dem Befehl

netsh interface ipv4 set global taskoffload = enabled

Laut dem Support sollte das Offloading generell aktiv sein, es sei denn es muss laut Hersteller einer Hardware/Software explizit deaktiviert sein. Bei der Nutzung von Hyper-V ist dies nicht der Fall, daher haben wir die Einstellung auf "enabled" gesetzt und das Problem war gelöst. Aufgenommen wurde das Problem übrigens unter der Bezeichnung "Removing the NIC teaming in Windows Server 2012 causes STOP 0×50".

Warum diese Einstellung (scheinbar nur auf den HP-Systemen) so gesetzt war, auch nach mehreren Neuinstallationen, wissen wir bis heute nicht.

Arnd Rößner: Windows Server 2003 Supportende

Windows Server 2003 Supportende: Ablösung schützt vor Betriebs- und Sicherheitsrisiken Support für Windows Server 2003 endet am 14. Juli 2015 In wenigen Wochen, am 14. Juli 2015, endet der weltweite Support für Windows Server 2003 und Windows Server 2003 R2. Der Hersteller Microsoft sowie Experten wie Andreas Gadatsch, Professor für Wirtschaftsinformatik an der Hochschule Bonn-Rhein-Sieg, Barbara Walter, Leiterin Marketing Communications von Spiceworks, und Ulf B. Weidner von Computacenter, mehr [...]

Torsten Meringer: MVP 2015

Heute erreichte mich – mittlerweile zum 11. mal in Folge – eine Email von Microsoft, die mit folgenden Worten beginnt:

Sehr geehrte(r) Torsten Meringer, herzlichen Glückwunsch! Wir freuen uns, Ihnen den Microsoft® MVP Award 2015 verleihen zu können! Diese Auszeichnung wird an herausragende, führende Mitglieder der technischen Communities verliehen, die ihre wertvollen praktischen Erfahrungen mit anderen Menschen teilen. Wir schätzen Ihren außerordentlich bedeutenden Beitrag in den technischen Communities zum Thema Enterprise Client Management im vergangenen Jahr hoch ein.

Weitere Informationen zum MVP-Programm („Most Valuable Professional“) von Microsoft finden sich hier: http://mvp.microsoft.com.

 

Der Beitrag MVP 2015 erschien zuerst auf Torsten's Blog.

Carsten Rachfahl [Technik]: Windows Update Fehler 80243004

Ich hatte heute einen recht “interessanten” Fall eines Fehlers mit Windows Update. Auf mehreren Windows Server 2008 R2-Systemen ließen sich die angezeigten Updates nicht einspielen, die Installation brach mit der Fehlermeldung: Einige Updates wurden nicht installiert. Code 80243004 Unbekannter Fehler bei Windows Update Die Lösung in diesem Fall war recht einfach, wenn auch ein bisschen […]

faq-o-matic: LAPS – lokales Admin-Passwort endlich sicher

Ich bin überzeugt, dass auch heute noch in vielen Active-Directory-Umgebungen das lokale Administratorpasswort über Group Policy Preferences (GPP) gesetzt wird. Dieses Verfahren ist leider aufgrund von Sicherheitsproblemen nicht mehr zu empfehlen (siehe http://matthiaswolf.blogspot.de/2014/05/ms14-025-das-ende-der-gespeicherten.html). Auch Microsoft hat dieses erkannt und das Hinterlegen von Passwörtern in Group Policy Prefrences mit dem Update MS14-025 ( https://technet.microsoft.com/en-us/library/security/ms14-025.aspx) unterbunden.

Bis zu diesem Zeitpunkt konnten Passwörter in den folgenden Group Policy Preferences genutzt werden:

  • Local user and group
  • Mapped drives
  • Services
  • Scheduled tasks (Uplevel)
  • Scheduled tasks (Downlevel)
  • Immediate tasks (Uplevel)
  • Immediate tasks (Downlevel)
  • Data sources

Bisher genutzte GPPs zur Verteilung von Passwörtern sind zwar weiterhin funktional, allerdings sind die dort verwendeten Passwörter nicht sicher und können mit wenig Aufwand ausgelesen werden. Um trotzdem Passwörter für lokale Konten zu verwalten, hat Microsoft nun das Tool Local Administrator Password Solution (LAPS) ins Programm aufgenommen (Download unter https://www.microsoft.com/en-us/download/details.aspx?id=46899).

Bei LAPS handelt es sich um eine Lösung, bei der pro Client ein dynamisches Passwort generiert und im Active Directory hinterlegt wird. Die Lösung basiert auf den folgenden Komponenten:

  • GPO Client Side Extension – auf jedem Client, der mittels LAPS verwaltet werden soll
  • Management Tools
    • Fat Client UI – Grafisches User Interface zum Auslesen der Passwörter aus dem AD
    • PowerShell Modul – PowerShell Modul zur Administration per PowerShell
    • Group Policy Template – zur Verteilung der Konfiguration auf den Client per GPO

Zusätzlich zu den genannten Komponenten werden zwei neue Attribute im Active-Directory-Schema benötigt.

Client-Voraussetzungen

Installation der Management-Tools

Um die Installation der Management-Tools zu beginnen, wird die entsprechende LAPS-Installationsdatei (LAPS.<platform>.msi) aufgerufen. Die Installationsdatei ist sowohl für 32- als auch 64-bit Systeme verfügbar. Unterstützt werden als Client-Betriebssystem alle Varianten ab Windows Vista (auch Windows 10) und als Server alle Varianten ab Windows Server 2003.

clip_image002

Nach Bestätigung des Willkommensfensters erscheint die Auswahl der zu installierenden Komponenten. Hier werden die gewünschten Management-Tools ausgewählt, die Installation kann sowohl auf einem dedizierten Management-Client als auch einem Domänencontroller erfolgen.

clip_image004

Nach Bestätigung der gewählten Optionen kann mit Install die Installation durchgeführt werden. Nach Abschluss der Installation kann diese wie gewohnt mit Finish beendet werden.

Installation der Client Side Extensions auf den zu verwaltenden Clients

Die Installation der Client Side Extensions auf den zu verwaltenden Clients kann entweder durch eine manuelle Installation als auch per Softwareverteilung, Group Policy oder Skript durchgeführt werden. Für eine automatisierte Installation kann der Silent-Parameter /quiet verwendet werden.

Beispiel:

clip_image005

Nach der Installation ist die installierte Client Side Extension in der Systemsteuerung unter Programme und Funktionen als Local Administrator Password Solution ersichtlich.

clip_image007

Alternativ kann die notwendige DLL auch per regsvr32 auf den Systemen registriert werden. In diesem Fall ist die Installation der CSE nicht in der Systemsteuerung unter Programme und Funktionen ersichtlich.

Active-Directory-Voraussetzungen

Um die lokalen Passwörter innerhalb des Active Directory zu speichern, ist es wie bereits erwähnt notwendig, die folgenden Attribute zum Active-Directory-Schema hinzuzufügen.

ms-Mcs-AdmPwd – speichert das Passwort in Klartext

ms-Mcs-AdmPwdExpirationTime – speichert das Ablaufdatum des Passworts

Für das Erweitern des Schemas liefert das das LAPS die notwendigen Utensilien mit. Hierbei handelt es sich um ein PowerShell-Modul, welches die notwendigen Befehle für die Erweiterung des Schemas als auch alle anderen administrative Tätigkeiten mitbringt.

Das Modul AdmPwd.PS kann mit dem Befehl Import-Module in die PowerShell Session importiert werden.

clip_image009

Wenn wir schon mal das PowerShell-Modul importiert haben können wir uns auch kurz alle verfügbaren Befehle mittels get-command -Module AdmPwd.PS anzeigen lassen. Das nächste Bild zeigt uns somit alle verfügbaren Befehle, die im Zusammenhang mit LAPS verwendet werden können.

clip_image011

Um das Schema zu erweitern, muss der Befehl Update-AdmPwdADSchema verwendet werden. Dieser Befehl erwartet keinerlei Parameter und muss einfach mit einem Konto, das über Schema-Administrator-Berechtigungen verfügt, ausgeführt werden.

clip_image013

Hinweis:

Sofern ein RODC innerhalb des Active Directory vorhanden ist, muss das Attribut ms-Mcs-AdmPwd ebenfalls repliziert werden. Hierzu muss das Attribut aus dem RODC Filtered Attribute Set entfernt werden.

Berechtigungen

Lesen der Passwörter

Wichtig: Alle Anwender, die die Berechtigung zum Lesen des ms-Mcs-AdmPwd-Attributs eines Computerobjektes haben, können das hinterlegte Passwort im Klartext auslesen. Aus diesem Grund muss allen nicht berechtigten Accounts das Leserecht „All extended rights“ entzogen werden.

Das Entfernen der Berechtigung kann auf OU-Ebene erfolgen. Allerdings ist vielleicht nicht klar, wer überhaupt in der OU die Berechtigung hat, die Extended-Attribute zu lesen. Hierfür liefert das LAPS das PowerShell-Cmdlet Find-AdmPwdExtendedrights mit, mit dem die Zugriffsberechtigungen pro OU überprüft werden können.

Beispiel:

clip_image015

Als Ergebnis erhält man alle User und Gruppen, die über die Leseberechtigung „All extended rights“ verfügen. Sollten in dem Ergebnis User oder Gruppen auftauchen, die diese Berechtigung nicht mehr haben sollen, muss dieses Recht wieder entfernt werden. Dieses kann zum Beispiel mittels ADSIEdit durchgeführt werden.

Um Usern oder Gruppen, die nicht in der Übersicht auftauchen, die Berechtigung zum Lesen der Passwörter einzuräumen, kann der PowerShell Befehl Set-AdmPwdReadPasswordPermission verwendet werden.

Beispiel:

clip_image017

Soll das Passwort durch bestimmte Accounts auch zurückgesetzt werden können, so ist es notwendig, dass der entsprechende Account über Schreibrechte für das Attribut ms-Mcs-AdmPwdExpirationTime des betroffenen Clients verfügt. Diese Berechtigung kann ebenfalls über die PowerShell mit dem Befehl Set-AdmPwdResetPasswordPermission vergeben werden.

Beispiel:

clip_image019

Notwendige Clientberechtigung zum Schreiben der Passwörter

Die mit LAPS verwalteten Clients benötigen die Berechtigung, die lokalen Passwörter und das Ablaufdatum in die Attribute ms-Mcs-AdmPwdExpirationTime und ms-Mcs-AdmPwd zu schreiben. Hierfür müssen die ACLs jeder Organisationseinheit, die zu verwaltende Clients beinhaltet, entsprechend angepasst werden. Der für die Anpassung notwendige Befehl lautet Set-AdmPwdComputerSelfPermission.

Befehl:

clip_image021

Hinweis:

Sofern die Vererbung der Rechte innerhalb des AD nicht unterbrochen wurde, reicht es natürlich, die Berechtigung auf der übergeordneten Organisationseinheit zu vergeben.

Auditing

Mittels LAPS ist es ebenfalls möglich zu erfassen, wenn ein Administrator erfolgreich das Passwort eines Clients aus dem Active Directory ausgelesen hat. Die Aktivierung des Loggings erfolgt wie gewohnt mittels PowerShell und dem Befehl Set-AdmPwdAuditing. Hierbei kann sowohl definiert werden, welche OUs als auch welche Accounts überwacht werden sollen.

Beispiel:

clip_image023

Nach dem Aktivieren des Loggings wird bei einem erfolgreichen Auslesen des Passworts wird im Security Log des Domain Controllers ein Event mit der ID 4662 erzeugt.

clip_image025

Konfiguration der Einstellungen

Die eigentliche Konfiguration des LAPS erfolgt über Gruppenrichtlinien. Die hierzu notwendigen Templates AdmPwd.admx bzw. AdmPwd.adml werden bei der Installation der Management Tools in dem Ordner %WINDIR%\PolicyDefinitions bzw. %WINDIR%\PolicyDefinitions\en-US abgelegt. Nach Öffnen der Group Policy Management Console sind die möglichen Einstellungen unterhalb des Punktes Computer Configuration\Administrative Templates\LAPS zu finden.

clip_image027

In obigen Bild ist ersichtlich, dass die Konfiguration der Lösung sich auf vier Punkte beschränkt und somit sehr einfach durchzuführen ist.

  1. Definition der Eigenschaften des Passworts (Passwortlänge, maximales Passwortalter und Komplexität des Passworts)
  2. Name des zu verwaltenden Kontos
  3. Festlegung, ob das festgelegte maximale Passwortalter auch für manuelle Zurücksetzungen des Passworts gilt
  4. Aktivieren des LAPS-Managements

Bei der Definition des Passworts kann sowohl die Länge als auch die Komplexität und das maximale Alter des lokalen Passworts beeinflusst werden.

clip_image029

Bei der Festlegung des zu verwendeten lokalen Accounts kann ein vom Built-in-Account (Administrator) abweichender Kontoname angegeben werden. Sofern der Built-In-Account verwendet wird, ist keinerlei Konfiguration der Richtlinie notwendig.

clip_image031

Es kann mittels der Richtlinie „Do not allow password expiration time longer than required by policy“ festgelegt werden, ob beim manuellen Zurücksetzen eines Passworts das in der Einstellung „Password Settings“ festgelegte maximale Passwortalter überschritten werden darf.

clip_image033

In der Richtlinie „Enable local admin password management“ kann die Nutzung von LAPS entweder aktiviert oder deaktiviert werden.

clip_image035

Verwalten der Clients

Anzeige von Passwörtern

Um die Passwörter von LAPS gemanagten Clients einzusehen, gibt es mehrere Möglichkeiten. Einerseits kann das Passwort, sofern man über die notwendigen Berechtigungen verfügt, mittels jedem LDAP-Tool, wie zum Beispiel Active Directory-Benutzer und -Computer, ausgelesen werden. Hierbei wird das Passwort im Attribut ms-Mcs-Adm-Pwd und das Ablaufdatum des Passworts im Attribut ms-Mcs-AdmPwdExpirationTime angezeigt.

clip_image037

Das Passwort wird hierbei im Klartext angezeigt. Um das Ablaufdatum in einer lesbaren Form zu erhalten ist es notwendig, den Inhalt des Attributs mittels w32tm /ntte zu konvertieren.

clip_image039

Eine komfortablere Lösung zur Anzeige und zum Zurücksetzen der Passwörter ist jedoch in den Management-Tools von LAPS enthalten. So bietet die LAPS UI die Möglichkeit, nach Computernamen zu suchen und die Informationen zum Passwort und Ablaufdatum des Passworts zu erhalten.

clip_image041

Ebenfalls kann die PowerShell verwendet werden, um die Informationen eines Clients zu erhalten. Der Befehl hierfür lautet Get-AdmPwdPassword.

clip_image043

Ein Anwender, der nicht über die Berechtigung zur Anzeige der Passwörtern verfügt, sieht weder im Active Directory Benutzer und Computer noch der LAPS UI das hinterlegte Passwort. Lediglich das Ablaufdatum des Passworts ist für den Anwender ersichtlich.

clip_image045

Zurücksetzen von Passwörtern

Das Passwort eines Clients kann einerseits über die LAPS-UI als auch per PowerShell zurückgesetzt werden. Hierbei wird entweder ein definierter Zeitpunkt für die Passwortänderung hinterlegt, oder es wird sofort zurückgesetzt. Die Änderung des Passwortes erfolgt in diesem Fall nach einer erneuten Group-Policy-Aktualisierung auf dem Client.

In der LAPS-UI kann die Änderung sehr einfach über das Setzen eines neuen Ablaufzeitpunkts des Passwortes und dem Bestätigen mit Set veranlasst werden. Soll das Passwort sofort zurückgesetzt werden, bleibt einfach das Feld „New expiration time“ leer.

clip_image047

In der PowerShell wird für die Änderung des Passwortes der Befehl Reset-AdmPwdPassword verwendet. Soll ein Änderungsdatum hinterlegt werden, so ist zusätzlich der Parameter ‑WhenEffective zu verwenden.

Beispiel:

LAPS – lokales Admin-Passwort endlich sicherclip_image049

Troubleshooting

Das Troubleshooting von LAPS-Problemen kann auf dem Client durch das Aktivieren des Client Loggings durchgeführt werden.

Hierzu muss unterhalb des Registry Schlüssels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ ein REG_DWORD mit dem Namen ExtensionDebugLevel angelegt werden.

Mögliche Optionen beim Logging sind:

Wert

Bedeutung

0

Silent Mode; log errors only

1

Log Errors and warnings

2

Verbose mode, log everthing

Nach Aktivieren des Loggings sind die jeweiligen Events im Anwendungs-Log des Clients zu finden (Quelle: Microsoft LAPS Operations Guide).

ID

Severity

Description

Comment

2

Error

Could not get computer object from AD. Error %1

This event is logged in case that CSE is not able to connect to computer account for local computer in AD.

%1 is a placeholder for error code returned by function that retrieves local computer name, converts it to DN and connects to object, specified by the DN

3

Error

Could not get local Administrator account. Error %1

This event is logged in case that CSE is not able to connect to managed local Administrator account.

%1 is a placeholder to error code returned by function that detects the name of local administrator’s account and connects to the account

4

Error

Could not get password expiration timestamp from computer account in AD. Error %1.

This event is logged in case that CSE is not able to read the value of ms-Mcs-AdmPwdExpirationTime of computer account in AD

%1 is a placeholder for error code returned by function that reads the value of the attribute and converts the value to unsigned __int64 type

5

Error

Validation failed for new local admin password against local password policy. Error %1.

This event is logged when password validation against local password policy fails.

5

Information

Validation passed for new local admin password.

This event is logged when password is successfully validated against local password policy

6

Error

Could not reset local Administrator's password. Error %1

This event is logged in case that CSE is not able to reset the password of managed local Administrator account.

%1 is a placeholder for error returned by NetUserSetInfo() API

7

Error

Could not write changed password to AD. Error %1.

This event is logged in case that CSE is not able to report new password and timestamp to AD.

%1 is a placeholder for error code returned by ldap_mod_s call

10

Warning

Password expiration too long for computer (%1 days). Resetting password now.

This event is logged in case that CSE detects that password expiration for computer is longer than allowed by policy in place while protection against excessive password age is turned on

11

Information

It is not necessary to change password yet. Days to change: %1.

This event is logged after CSE detects that it is not yet the time to reset the password

%1 is a placeholder for number of 24-hour’s intervals that remain till the password will be reset

12

Information

Local Administrator's password has been changed.

This event is logged after CSE resets the password of managed local Administrator account

13

Information

Local Administrator's password has been reported to AD.

This event is logged after CSE reports the password and timestamp to AD

14

Information

Finished successfully

This event is logged after CSE performed all required tasks and is about to finish

15

Information

Beginning processing

This event is logged when CSE starts processing

16

Information

Admin account management not enabled, exiting

This event is logged when admin account management is not enabled

Quelle: Microsoft LAPS Operations Guide

Fazit

Microsoft hat mit der Local Administrator Passwort Solution nun für alle ein Programm im Portfolio, mit dem das Setzen von lokalen Administrator Passwörtern endlich sicher, einfach und automatisch erfolgen kann. Meiner Meinung sollte jeder, der etwas mehr Sicherheit in seinem Active Directory haben möchte und bisher die Passwörter mittels Group Policy Preferences verteilt, schnell auf die neue Lösung umsteigen. Der Aufwand hierfür ist im Vergleich zur gewonnenen Sicherheit extrem gering.

Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.

TechNet Austria [MS]: Belohnt werden fürs Lernen!!

WP_20150630_18_45_06_ProIch hoffe natürlich, Ihr besucht alle regelmäßig unsere MVA, die Microsoft Virtual Academy. Die kostenlosen Online-Trainings der Microsoft Virtual Academy unterstützen Euch IT-Professionals dabei Euer Know-How zu aktuellen Technologien zu erweitern.

Eigentlich solltet Ihr ja sowieso ganz begierig nach Trainings sein. Vielleicht hilft aber ein kleines “Zuckerl” Euch noch mehr zu motivieren:

Braucht Ihr mehr Power? (Also eigentlich Euer Handy.) Habt Ihr Verwendung für eine coole Power Bank?

Ja? Dann mache ich Euch das folgende Angebot:

Wir verlosen ab nächster Woche den ganzen Sommer hindurch Woche für Woche jeweils zwei exklusive MVA Power Banks. Alles was Ihr dazu tun müsst ist:

  1. Euch mittels der MVA weiterzubilden
  2. Uns bekannt zu geben dass Ihr gerne bei der MVA Summer Challenge mitmachen wollt.

So könnt Ihr Euch weiterbilden und trotzdem Urlaub machen! Smile

Gewinnspielanleitung im Detail:

  1. Einen der folgenden angegebenen Kurse komplett absolvieren (=100% abgeschlossen).
  2. Abgeschlossene Kurse im MVA Profil sichtbar machen
  3. E-Mail an Gerhard.Goeschl@Microsoft.com mit dem Link auf Euer eigenes öffentliches MVA-Profil (z.B. http://www.microsoftvirtualacademy.com/Profile.aspx?alias=102682)
  4. Gewinnspielzeitraum ist 6. Juli bis 28. August.
  5. Jede Woche werden unter allen Einsendungen der jeweiligen Woche zwei Power Banks verlost.
    Es gewinnen die Einsendungen mit den höchsten Kurspunkten. Bei Gleichstand gewinnt die frühere Einsendung.

Welche Kurse zählen?
Ihr könnt einen oder mehrere der folgenden Online-Kurse in der Microsoft Virtual Academy abschließen um mitzumachen:

Wie weise ich nach dass ich einen Kurs gemacht habe?
Als Nachweis bitte einfach Eure absolvierten Kurse im Profil veröffentlichen. Dazu:

  1. Zu den Profileinstellungen navigieren.
  2. Im Abschnitt “Persönliche Daten” den Punkt “meine Profildaten fuer alle Nutzer freigeben” aktivieren
  3. Im Abschnitt “Mein Status in der MVA” den Punkt “Tracks” aktivieren

Was soll im Anmelde E-Mail stehen?
In Eurem E-Mail an Gerhard.Goeschl@Microsoft.com gebt bitte den Link auf Euer eigenes öffentliches MVA-Profil (z.B. http://www.microsoftvirtualacademy.com/Profile.aspx?alias=102682) an. Ihr findet es wenn Ihr in Euren Profileinstellungen auf “Zum öffentlichen Profil navigieren” klickt.

Aus allen die, beginnend mit 6. Juli bis spätestens 28. August, einen der oben genannten Kurse fertiggestellt, in Ihrem MVA Profil sichtbar gemacht und uns rechtzeitig (= bis 29. August) benachrichtigt haben wählen wir Woche für Woche aus allen Einsendungen der jeweiligen Woche zwei Gewinner, die je eine Power Bank zugeschickt bekommen. Es gewinnen die beiden Einsendungen mit den höchsten Kurspunkten. Bei Gleichstand gewinnt die frühere Einsendung.

Na? Ist das ein Angebot?

Viel Spaß beim Lernern!!

WICHTIG: Um teilzunehmen muss das E-Mail spätestens am 29. August 2015, 23:59 abgeschickt werden!!

Bei Fragen, Wünschen und Komplikationen aller Art erreicht Ihr mich wie gewohnt unter meiner E-Mail Adresse.

Gerhard Göschl, Marketing Leiter - IT-Spezialisten und Software Entwickler

Microsoft Österreich GmbH
Gerhard.Goeschl@Microsoft.com

Microsoft Virtual Academy

Und hier noch das Kleingedruckte (muss leider sein):

Veranstalter ist die Microsoft Österreich GmbH. Teilnahmeberechtigt sind alle Personen mit Hauptwohnsitz in Österreich und einer österreichischen postalischen Zustelladresse. Von der Teilnahme ausgeschlossen sind Mitarbeiter von Microsoft und deren Angehörige sowie Amtsträger. Minderjährige sind teilnahmeberechtigt, wenn der gesetzliche Vertreter in die Teilnahme und in diese Teilnahmebedingungen vorher eingewilligt hat.

Teilnahmevoraussetzung ist die Komplettierung (=100% abgeschlossen) zumindest einer der in diesem Blog Post angegebenen Kurse bzw. eines  MVA-Kurses der nach dem 1. Mai 2015 veröffentlicht wurde., die Veröffentlichung des Kursabschlusses im MVA Profil des Teilnehmers (https://www.microsoftvirtualacademy.com/MyMVA/MyProfile.aspx) sowie die Bekanntgabe per E-Mail an Gerhard.Goeschl@Microsoft.com bis spätestens 29. August 2015 23:59. Es gilt die Datums- und Uhrzeitangabe bei Eintreffen in der Inbox von Gerhard.Goeschl@Microsoft.com. Der Rechtsweg ist ausgeschlossen

Die Gewinner werden per E-Mail verständigt und erklären sich mit der allfälligen Veröffentlichung des Vornamens und des Anfangsbuchstabens des Nachnamens auf TechNet Austria einverstanden. Der Rechtsweg ist ausgeschlossen und die Ausbezahlung in bar nicht möglich. Mit Ihrer Teilnahme stimmen Sie diesen Teilnahmebedingungen vollständig und bedingungslos zu.

Durch das Absenden Ihrer Daten willigen Sie in die Speicherung Ihrer Daten durch die Microsoft Corporation in den USA und der Microsoft Österreich GmbH ein. Die erhobenen Daten dienen einzig der Auslosung und Benachrichtigung der Gewinner, sie werden nicht zu anderen Werbezwecken genutzt oder an Dritte weitergegeben. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ein Widerspruch ist an Microsoft Österreich GmbH, Am Europlatz 3, A-1120 Wien, oder an austria@microsoft.com zu richten.

Carsten Rachfahl [Private Cloud]: Office 365 – Exchange Sicherung mit Carbonite Server Backup

Wir haben auf unseren Blogs schon über diverse Office365 Tools berichtet. Auf der diesjährigen Cebit wurde ich auf ein neues Office 365 Backup Produkt aufmerksam. Carbonite Server Backup ist ein Anbieter hybrider Backup-Lösungen für kleine und mittlere Unternehmen und unterstützt verschiedene Sicherungstypen, so kann Carbonite z.B. FileServer, MySQL Server oder auch ganze Hyper-V Virtuelle Maschinen […]

faq-o-matic: Hyper-V: Dateien aus einer VM auf den Host kopieren

Der Microsoft-Program-Manager für Hyper-V Ben Armstrong hat einen kleinen Blog-Artikel verfasst, in dem er beschreibt, wie man Dateien aus einer Hyper-V-VM auf den Host kopiert, wenn es keine Netzwerkverbindung zwischen Host und VM gibt. Für den umgekehrten Weg gibt es seit Windows Server 2012 das PowerShell-Commandlet “Copy-VMFile”, doch das beherrscht eben aktuell nur das Kopieren vom Host in eine VM.

Der Trick von Ben ist durchaus etwas aufwändig und eignet sich eher für spezielle Situationen, doch dann ist er sehr hilfreich.

[Get Files Out of a Running Virtual Machine – Ben Armstrong – Site Home – MSDN Blogs]
http://blogs.msdn.com/b/virtual_pc_guy/archive/2012/10/05/get-files-out-of-a-running-virtual-machine.aspx

Carsten Rachfahl [Hyper-V]: Microsoft Virtualisierungs Podcast Folge 45–Ignite Konferenz

HVS-Podcast-Folgen-kleinAnfang Mai fand in Chicago die erste Microsoft Ignite Konferenz statt. Als mich meine Frau Kerstin fragte, ob wir hinfahren sollen, war ich natürlich sofort Feuer und Flamme. Deswegen habe ich heute erstmals Kerstin (MVP für Office 365) im Interview und wir Beide sprechen über die Microsoft Ignite.

Vorweg gibt es wie immer viele nützliche Links auf Blogposts, Videos, Audios und hinten raus die Termine aus der Microsoft Private Cloud Szene.

Ich wünsche Euch beim Zuhören viele Erkenntnisse und so viel Spaß, wie ich beim Zusammentragen der Infos hatte.

 

Shownotes:
Links und News (ab 1:15)

Next-generation storage for the software-defined datacenter auf dem Windows Server Blog

Storage Spaces Direct in Windows Server Technical Preview auf Microsoft TechNet

Konfiguration der Repair-Einstellungen im Scale-Out File Server von Jan Kappen auf Hyper-V-Server.de

Handy Tool for Converting KVM / VMware Images to Hyper-V auf Ben Armstrong’s Virtualization Blog

Downloading MS Ignite content with PowerShell and Bits from CH9 von Nicklas Akerlund auf seinem Blog

Audio und Videos (10:54)

Hyper-V Amigos Showcast Episode 9 RDMA, RoCE, PFC and ETS auf Hyper-V-Amigos.Net

Videointerview mit Claus Joergensen über Storage Spaces Direct in Windows Server 2016 auf Hyper-V-Server.de

Aufzeichnung der MVP Virtual Conference – Americas 2015 auf Channel9 Events

Hyper-V Amigos Chat – Microsoft Ignite 2015 Conference auf Hyper-V-Amigos.Net

Videointerview mit Matt Garson über Storage Spaces auf Hyper-V-Server.de

Aufzeichnung der Microsoft Ignite 2015 Sessions auf Channel9 Events

Vorträge vom Hyper-V Community Treffen am 23. April in Berlin auf Hyper-V Community Blog

Behind the Scenes with Storage Replica and RDMA mit Ned Pyle und Greg Kramer auf Channel9

Schwerpunktthema Ignite Konferenz (ab 22:30)

Diesmal habe ich eine Prämiere für euch: meine Podcast Partnerin aus dem Himmlische-IT PodCast und dem Buchgeflüster Podcast Kerstin berichtet mit mir von der Ignite. Wenn euch die Chemie zwischen uns gefällt dann hört doch auch mal in die andren Podcasts herein Zwinkerndes Smiley

Termine (ab 54:34)

MVP Fusion am 30. Juni von 17 bis 23 Uhr

Microsoft IT Camp Infrastrukturmodernisierung -  Microsoft Cloud in a day am 2. Juli in Frankfurt

Microsoft IT Camp Infrastrukturmodernisierung -  Microsoft Cloud in a day am 8. Juli in Berlin

Building Clouds Community am 6. Juli in Lahr/Schwarzwald

Microsoft Azure Virtuelle Konferenz vom 6. bis 8. Juli Online

Hyper-V Community am 16. Juli bei Microsoft in Unterschleißheim

SYSADMINDAY 2015 am 31. Juli in Leipzig

Hyper-V PowerKurs vom 17. bis 21. August in Hallenberg

SCU Europe 2015 vom 24. bis 26. August in Basel

cim lingen 2015 am 19. September in Lingen

Microsoft Technical Summit 2015 vom 17. bis 19. November in Darmstadt

Im Abspann erwähnte Podcasts:

Willmar Heinrich: S/MIME–trotz public key des Partners keine Verschlüsselung?

Ich habe heute einen interessanten Effekt gefunden, der mich eigentlich schon lange bewegt hat: Obwohl im CERTMGR sichtbar das Zertifikat des Partners eingetragen war, konnte ich an ihn unter bestimmten Bedingungen keine e.mail verschlüsseln. Folgende Ausgangssituation: Rudi-Ratlos@irgendwo.de schickt eine signierte mail an mein Firmenpostfach Lilo.lustig@firma.de Das Zertifikat wird im lokalen Zertifikatspeicher gespeichert. Wenn ich jetzt […]

Carsten Rachfahl [Hyper-V]: Konfiguration der Repair-Einstellungen im Scale-Out File Server

Vorlage-Button-WinServ2012R2_thumbDa ich aktuell bei einem Kunden sitze und einen Scale-Out File Server konfiguriere ist mir aufgefallen, dass wir noch keinen Beitrag bzgl. den Repair-Einstellungen in einem Storage Pool und besonders die Änderungen durch das November-Update 2014 (Update2 für Server 2012 R2, KB3000850) geschrieben haben. Durch die Installation bekommt man mehr Möglichkeiten, um den Fast Rebuild / Quick Rebuild-Vorgang anzupassen. Dies wirkt sich auf die Performance aus, die Sie während einem Rebuild-Prozess haben.

Beim Einsatz von hochverfügbaren Storage Spaces gibt es zwei Möglichkeiten, den Ausfall von einem Datenträger möglichst zeitnah abzufangen: Der Einsatz von Hot Spare-Datenträgern oder die Nutzung der Fast Rebuild-Technik. Beim Einsatz einer oder mehreren Hot Spare-Datenträgern ist die Nutzung so wie bei RAID-Controllern, Block-Storage-Systemen usw: Es stehen ungenutzte Datenträger zur Verfügung, die bei Ausfall einer Produktiv-Festplatte einspringen und an Stelle von dem ausgefallenen Datenträger genutzt werden. Diese Variante hat den Nachteil, dass bei dem Ausfall von einem Datenträger die Daten von diesem auf die Hot Spare-Festplatte geschrieben werden müssen, damit die Redundanz wieder zur Verfügung steht. Dieser Vorgang kann recht lange dauern (abhängig von Größe, Geschwindigkeit und Menge der Daten) und im dümmsten Fall fällt dieser Datenträger, der lange Zeit entweder nicht lief oder nicht produktiv genutzt wurde, aus.

Microsoft setzt bei den Storage Spaces auf eine andere Technik. Alle Datenträger werden zu einem Pool hinzugefügt (eine logische Zusammenfassung aller Datenträger, die genutzt werden sollen inkl. den Festplatten, die eigentlich als Hot Spare-Datenträger genutzt werden sollen). Nun werden basierend auf dem Pool virtuelle Datenträger erzeugt. Bei der Erstellung dieser Datenträger nutzt man nicht den kompletten Speicherplatz, der in dem Pool zur Verfügung steht, sondern man lässt einen gewissen Bereich frei. Wie viel genau man freilassen muss ist nicht in direkten Zahlen festgestellt, sondern wird von Microsoft wie folgt beschrieben:

You need to keep sufficient unallocated disk space available to enable the repairs. Under-provision your storage pool (that is, limit the total capacity that you allocate to all storage spaces in the pool) so that the pool can tolerate multiple disk failures without degraded health. If you’re using storage tiers, keep the total free space in each of the storage pools equivalent to one HDD plus 8 GB (for storage pool and storage spaces overhead) and one SSD plus 8 GB per enclosure. For a space that does not have tiers, under-provision as though you have a single tier.

Quelle: https://technet.microsoft.com/en-us/library/dn782852.aspx

Theoretisch werden nun die physischen Datenträger in dem Pool nicht komplett mit Daten beschrieben, sondern man kann sich visuell vorstellen, dass auf jeder Festplatte noch ein gewisser freier Speicherplatz vorhanden ist. Fällt nun ein Datenträger aus, werden nun von allen restlichen Festplatten die fehlenden Blöcke auf alle anderen Datenträger geschrieben. Dieser Prozess dauert wesentlich kürzer als die Kopie von allen Daten auf eine einzelne Festplatte (der Hot Spare-Datenträger).

In den Standard-Einstellungen kann es vorkommen, dass der Repair-Vorgang bei freiem Speicherplatz innerhalb des Pools eine so hohe Priorität hat und somit so viele I/Os erzeugt, dass für die VMs in diesem Pool kaum noch Ressourcen übrig bleiben. Dies macht sich darin bemerkbar, dass die Performance teilweise extrem stark sinkt.

In kleineren Umgebungen mit 20 – 40 VMs habe ich bisher einen nicht so starken Impact erlebt, in größeren Umgebungen bei mehr als 100 oder mehr als 1000 VMs waren die Auswirkungen deutlich zu spüren. Aus diesem Grund hat Microsoft mit dem Update2 (November-Update 2014) eine Möglichkeit eingebracht, dieses Verhalten ein wenig zu steuern und die Priorität der Wiederherstellung zu senken, damit es nicht mehr zu einer Beeinflussung der Produktiv-Umgebung kommt.

Wie bereits angesprochen, achten Sie auf das installierte Update2. Sie können auf einem Server recht einfach herausfinden, ob dieses installiert ist. Geben Sie einfach in der PowerShell die folgende Zeile ein:

Get-Hotfix | where hotfixID –like KB3000850

tl;dr

Um die Einstellungen zu setzen, müssen Sie ein paar Zeilen PowerShell auf jedem! SOFS Knoten ausführen:

Set-ItemProperty hklm:\System\CurrentControlSet\Services\Spaceport\Parameters 
     -Name ReallocationsPerInterval 32
Set-ItemProperty hklm:\System\CurrentControlSet\Services\Spaceport\Parameters 
     -Name ReallocationInterval 15
Set-ItemProperty hklm:\System\CurrentControlSet\Services\Spaceport\Parameters 
     -Name RepairQueueDepth 4
Set-ItemProperty hklm:\System\CurrentControlSet\Services\Spaceport\Parameters 
     -Name RepairQueueWidth 8
Get-ClusterResourceType "Storage Pool" | 
Set-ClusterParameter -Name ReEvaluatePlacementTimeout -Value $([uint32]300) –create

Prüfen kann man die Einstellungen mit den folgenden Zeilen:

Get-ItemProperty hklm:\System\CurrentControlSet\Services\Spaceport\Parameters | Select-Object ReallocationsPerInterval,ReallocationInterval,RepairQueueDepth,RepairQueueWidth | Format-List
Get-ClusterResourceType ‘Storage Pool’ | Get-ClusterParameter

Die Ausgabe sollte wie folgt aussehen:

ReallocationsPerInterval : 32
ReallocationInterval     : 15
RepairQueueDepth         : 4
RepairQueueWidth         : 8

Object       Name                       Value Type  
------       ----                       ----- ----  
Storage Pool ReEvaluatePlacementTimeout 300   UInt32

Die Beschreibung von Microsoft zu diesen Werten ist im TechNet zu finden:

https://technet.microsoft.com/en-us/library/dn858079.aspx

P.S. Aktive Repair-Vorgänge können Sie mit dem PowerShell-Befehl

Get-StorageJob

beobachten.

Carsten Rachfahl [Private Cloud]: Mark Minasi – ein Leben in der IT

Auf der Microsoft Ignite 2015 in Chicago, bekam ich die Gelegenheit ein Interview mit Mark Minasi zu führen. Mark ist ein bekannter Buchautor, Sprecher sowie Consultant zur Microsoft Software und seit 2003 jedes Jahr mit dem Microsoft Most Valuable Professional Award ausgezeichnet worden; sein aktueller Schwerpunkt ist Powershell und da das eine immer wichtigere Rolle in […]

Torsten Meringer: Uservoice – Feedback zu ConfigMgr und Intune

Microsoft hat seit kurzem einen weiteren Weg bereitgestellt, Feedback zu seinen Produkten zu geben. Neben der bisherigen Möglichkeit http://connect.microsoft.com zu nutzen gibt es jetzt für ConfigMgr und Intune die beiden folgenden Uservoice-Seiten

https://configurationmanager.uservoice.com

https://microsoftintune.uservoice.com

Das Feedback wird direkt von der Produktgruppe eingesehen. Weiterhin besteht die Möglichkeit, (s)eine Stimme für bereits bestehende Feedback-Items abzugeben, so dass diese höher gewertet werden und entsprechend mehr Gewichtung bekommen.

Der Beitrag Uservoice – Feedback zu ConfigMgr und Intune erschien zuerst auf Torsten's Blog.

Arnd Rößner: Terrabit Business BBQ Rückblick

Braucht’s für ein BBQ Sommerwetter? Wir sagen: Nein. Vorausgesetzt man hat die spannende Mischung aus rasanten Elektro-Autos, Tech-Demos, Vortrag und BBQ-Smoker am Start. Full House beim Terrabit Business BBQ.   mehr [...]

Michael Greth: Ein Update aus dem SharePointland

Ich will in der zweiten Jahreshälfte meinen Blog wieder aktivieren und fange heute schon mal mit einem Update zu verschiedenen aktuellen Themen und Veröffentlichungen an.

Video Serie mit den Vorträgen des After IGNITE Events

Auf dem After-IGNITE Event der SharePointCommunity am 27.5.2015 in Berlin hatten wir 7 Experten aus der Community eingeladen, die wichtigsten Themen, Ankündigungen und Perspektiven zu SharePoint 2016 in kompakten Vorträgen à 30 Minuten vorzustellen und ihre Bewertungen, Einschätzungen und Empfehlungen zu geben. Alle Vorträge haben wir aufgezeichnet und stehen in unserem YoutTUbe CHannel bereit

>> http://sharepointusergroups.de/AfterIgnite.html

Serie über Microsoft Rights Management

Datensicherheit und Datenverschlüsselung spielen eine immer wichtigere Rolle, insbesondere auch dann, wenn Unternehmen sich in die Cloud begeben. In dieser Woche haben wir eine vierteilige Serie zum Thema „Sichere Daten mit Microsoft Information Rights Management“ auf SharePointSocial.de veröffentlicht. Autorin ist Yvonne Melzer von der Novacapta.de, die sich intensiv mit RMS beschäftigt hat. Zur Einführungen haben wir ein längeres Gespräch über die Grundlagen des RMS mit Yvonne Melzer im SharePoint Podcast 326 geführt.

>> Artikelserie http://sharepointsocial.de/2015/06/21/serie-verwalten-von-dateizugriffsrechten-mit-microsoft-rights-management-services/

>> Podcast SPPD326 Talk mit Yvonne Melzer über Sichere Daten mit Microsoft Information Rights Management

Webinar am 25.6.2015 10 Uhr über Security, Administration und Governance für SharePoint On-Prem, Online und alles dazwischen

Am 25.6. um 10:Uhr werde ich mit Gary Hughes von Metalogix im Webinar über das Thema Security, Administration und Governance für SharePoint On-Prem, Online und alles dazwischen sprechen und diskutieren, wie diese Herausforderungen in On-Premise, in Cloud- und Hybrid-Umgebungen am besten angegangen werden.

>> Anmeldung: Security, Administration und Governance für SharePoint On-Prem, Online und alles dazwischen

Die aktuellen 3 Ausgaben des SharePointPodcast

  • SPPD325 Migrationsvorbereitungen mit Dennis Hobmaier 
    Migration + Upgrade: Themen, die über die Jahre immer aktuell waren und auch aktuell bleiben. Heute spreche ich mit Dennis Hobmaier von AvePoint über die Dingen, die man vor einer Migration z.B. nach Office 365 bedenken sollte. Vorbereitung ist alles und deshalb geht der erste Tipp in Richtung „Altlasten beseitigen und aufräumen“. Und natürlich noch mehr alles zu hören im Gespräch mit Dennis.
  • SPPD324 Vancouver Calling mit Oliver Wirkus 
    Ausgewandert nach Canada: Oliver Wirkus, langjähriger Betreuer der SharePointUserGroup in Stuttgart, ist vor einigen Wochen mit der Familie nach Vancouver, Canada, ausgewandert und arbeitet jetzt dort wo andere Urlaub machen als SharePoint Senior Consultant bei derSoftLanding. Ein guter Ansatzpunkt für eine neue Reihe im SharePointPodcast: Vancouver Calling – hier will ich  mich in unregelmäßigen Abständen mit Oli über seine Eindrücke und Erfahrungen in Canada unterhalten. In der ersten Episode reden wir über das etwas geruhsamere Arbeiten, Bären, eine schöne Aussicht, UserGroups in Vancouver und vieles mehr.
  • SPPD323 Talk mit Fabian Moritz – Talk 2020
    Mit Fabian Moritz, wie ich SharePoint MVP, von Anfang an bei SharePoint dabei und schon diverse Male hier im Podcast zu Gast, habe ich mich vor einiger Zeit darüber unterhalten, ob wir uns nicht zusammen regelmäßig zum Thema SharePoint und Office 365 aus etwas mehr technischer Sicht im Podcast unterhalten wollen. Gesagt, getan – hier ist die erste Ausgabe mit dem Arbeitstitel „Talk 2020″.

Die Zukunft des IT-Administrators

In der 11. Ausgabe des ClubOffice365 eine Premiere - Martina und ich diesmal nicht über Skype virtuell, sondern gemeinsam vor dem Mikrofon auf der ShareConf 2015 in Düsseldorf. Zu Gast haben wir unseren MVP Kollegen Samuel Zürcher aus der Schweiz, mit dem wir über die Zukunft des IT-Administrators in Zeiten der Cloud sprechen.

>>  http://cluboffice365.de/2015/06/22/co365-011-ueber-die-zukunft-des-it-administrators/

Dieter Rauscher: Rollup 2 für Forefront Unified Access Gateway 2010 Service Pack 4 verfügbar

Seit dem 19. Juni ist das Rollup 2 für das Forefront Unified Access Gateway 2010 (UAG) Service Pack 4 verfügbar. Folgende Probleme werden damit behoben:

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

Arnd Rößner: WSUS in Windows Server 2012 R2 und Windows vNext Server

WSUS in Windows Server 2012 R2 und Windows 10 vNext  – Link Viele Grüße Arnd Rößner

faq-o-matic: Azure Active Directory: Tools zur Synchronisation

Einige der Cloud-Identitäten, die ich in dem Artikel Azure Active Directory: Identitätstypen erläutert habe, setzen eine Synchronisation der On-premises-Benutzerkonten voraus. Dabei stellt sich natürlich die Frage, welches Tool für die Synchronisation verwendet werden kann. Eine Antwort auf diese Frage möchte ich Euch bis zum Ende des Artikels liefern.

Microsoft stellt zum heutigen Zeitpunkt vier Tools für die Synchronisation in Richtung Azure Active Directory bereit. Bei den Programmen handelt es sich um:

1. Azure Active Directory Synchronization Tool (DirSync)

2. Azure Active Directory Sync (AAD Sync)

3. Azure Active Directory Connect (AAD Connect)

4. Forefront Identity Manager 2010 R2 (FIM; künftig: Microsot Identity Manager, MIM)

Die Wahl des Tools ist natürlich von den benötigten Features als auch von der vorhandenen Infrastruktur sowie organisatorischen Anforderungen abhängig. Aus dem Grund ist eine allgemein gültige Antwort schwer zu definieren. Daher bleiben wir bei dem in der IT allseits geliebten „it depends“ und schauen uns die Möglichkeiten genauer an.

Die einzelnen Features der Tools sind in den nachfolgenden Tabellen (Quelle: https://msdn.microsoft.com/en-us/library/azure/dn757582.aspx) aufgeführt.

Da es sich bei dem Azure Active Directory Connect noch um eine Preview-Variante handelt, sind in diesem Fall noch nicht alle geplanten Features enthalten. Dennoch führen die Tabellen bereits die zukünftigen Features mit der Bezeichnung CS (coming soon). Features, die bereits in der Preview enthalten sind, sind mit PP (Public Preview) gekennzeichnet.

 

On-Premises to Cloud Synchronization

       

Feature

Azure Active Directory Synchronization Tool (DirSync)

Azure Active Directory Synchronization Services (AAD Sync)

Azure Active Directory Connect

Forefront Identity Manager 2010 R2 (FIM)

Connect to single on-premises AD forest

X

X

PP

X

Connect to multiple on-premises AD forests

 

X

PP

X

Connect to single on-premises LDAP directory

   

CS

X

Connect to multiple on-premises LDAP directories

   

CS

X

Connect to on-premises AD and on-premises LDAP directories

   

CS

X

Connect to custom systems (i.e. SQL, Oracle, MySQL, etc.)

     

X

Synchronize customer defined attributes (directory extensions)

   

CS

 

 

Ein Blick auf die Featureübersicht im Bereich der Synchronisation von On-Premises in Richtung Cloud verdeutlicht, dass DirSync in diesem Bereich die wenigsten Funktionen beinhaltet. So bietet DirSync nur die Möglichkeit, einen einzelnen Active-Directory-Forest in Richtung Cloud zu synchronisieren.

Microsoft hat dem Azure Active Directory Sync hier zusätzlich die Funktion zur Synchronisierung von mehreren Active-Directory-Forests implementiert.

Azure Active Directory Connect liefert in der derzeitig verfügbaren Preview ebenfalls die Möglichkeit, mehrere Active-Directory-Forests zu synchronisieren. Jedoch werden bald zusätzliche Features implementiert. So soll es zukünftig möglich sein, dass neben dem Microsoft Active Directory auch fremde LDAP-Verzeichnisse als Quelle für den Synchronisationsprozess dienen können. Ebenfalls soll die Synchronisierung von benutzerdefinierten Attributen im AAD Connect ermöglicht werden.

Mit dem Microsoft/Forefront Identity Manager 2010 R2 steht einem jetzt ein Tool zur Verfügung, wenn es darum geht Konten aus einem oder mehreren Active-Directory-Forests oder anderen LDAP-Verzeichnissen zu synchronisieren. Des weiteren ist der FIM die einzige Möglichkeit, um Konten aus anderen Systemen, wie zum Beispiel SQL, Oracle und MySQL zu synchronisieren.

 

Cloud to On-Premises Synchronization

       

Feature

Azure Active Directory Synchronization Tool (DirSync)

Azure Active Directory Synchronization Services (AAD Sync)

Azure Active Directory Connect

Forefront Identity Manager 2010 R2 (FIM)

Writeback of devices

X

 

CS

 

Attribute writeback (for Exchange hybrid deployment )

X

X

PP

X

Writeback of users and groups objects

   

CS

 

Writeback of passwords (from self-service password reset (SSPR) and password change)

 

X

PP

 

Writeback of customer defined attributes (directory extensions)

   

CS

 

 

Bei der Betrachtung der Features bei der Synchronisation von der Cloud in Richtung On-premises ist ersichtlich, dass derzeit die Tools über sehr unterschiedliche Features verfügen.

DirSync bietet hierbei zum heutigen Zeitpunkt als einziges Tool die Funktion des “Writeback” von Geräteinformationen, welches für die Nutzung des Azure Active Directory Device Registration Service (Workplace Join per Azure AC) notwendig ist. Zusätzlich kann DirSync ebenfalls die notwendigen Attribute ins lokale Active Directory zurückschreiben, welche für den Betrieb einer hybriden Exchange Infrastruktur notwendig sind.

Azure Actve Directory Sync bietet ebenfalls die Möglichkeit der Synchronisation der notwendigen Exchange-Attribute für eine hybride Exchange-Infrastruktur. Zusätzlich können mittels AAD Sync die Funktion des Self-Service-Password-Resets und Änderungen des Passworts genutzt werden. In diesem Fall werden Passwortänderungen, die in der Cloud durchgeführt wurden, wieder ins lokale Active Directory geschrieben.

Azure Active Directory Connect liefert zum derzeitigen Preview-Stand die identischen Features wie AAD Sync. Jedoch werden zukünftig sowohl die Möglichkeit des Writeback von Geräten, Benutzer und Gruppen sowie benutzerdefinierte Attribute hinzukommen.

Der Forefront Identity Manager 2010 R2 bietet in diesem Zusammenhang nur die Funktion des Zurückschreibens von Exchange-relevanten Attributen, die für die Bereitstellung einer hybriden Exchange-Infrastruktur notwendig sind.

 

Authentication Feature Support

       

Feature

Azure Active Directory Synchronization Tool (DirSync)

Azure Active Directory Synchronization Services (AAD Sync)

Azure Active Directory Connect

Forefront Identity Manager 2010 R2 (FIM)

Password Sync for single on-premises AD forest

X

X

PP

 

Password Sync for multiple on-premises AD forests

 

X

PP

 

Single Sign-on (SSO) (also called Federation)

X

X

PP

X

Writeback of passwords (from SSPR and password change)

 

X

PP

 

 

DirSync bietet im Bereich der Authentifizierungsfeatures sowohl die Möglichkeit zur Synchronisation des lokalen Passworts in Richtung Cloud als auch die Verwendungsmöglichkeit innerhalb eines Single-Sign-on-Szenarios an (Federation: nicht sicher was damit gemeint ist? Dann hast du hier noch mal die Möglichkeit nachzulesen: Azure Active Directory: Identitätstypen).

AAD Sync und AAD Connect bieten zusätzlich die Möglichkeit, Passwörter aus mehreren Active-Directory-Forests zu synchronisieren, als auch geänderte Passwörter (entweder durch Self-Service Passwort Reset oder Passwortänderungen) ins lokale Active Directory zurückzuschreiben.

Der Forefront Identity Manager bietet in dem Zusammenhang nur die Nutzung innerhalb eines Single-Sign-On-Szenarios an.

 


Set-up and Installation

       

Feature

Azure Active Directory Synchronization Tool (DirSync)

Azure Active Directory Synchronization Services (AAD Sync)

Azure Active Directory Connect

Forefront Identity Manager 2010 R2 (FIM)

Supports installation on a Domain Controller

X

X

PP

 

Supports installation using SQL Express

X

X

PP

 

Step-up from DirSync to AAD Connect

   

CS

 

Localization Windows Server languages

X

X

CS

 

Support for Windows Server 2008 and Windows Server 2008 R2

X

X

 

X

Support for Windows Server 2012 and Windows Server 2012 R2

X

X

PP

 

 

In der vorangegangenen Tabelle ist ersichtlich, dass sowohl DirSync als auch AAD Sync für den Betrieb auf Windows Server 2008 (R2) und Windows Server 2012 (R2) supportet sind. Bei AAD Connect hingegen wird nur der Betrieb auf Windows Server 2012 (R2) unterstützt. Bei FIM 2010 R2 hingegen wird der Betrieb auf Windows Server 2012 (R2) nicht supportet.

Des Weiteren können sowohl DirSync, AAD Sync als auch AAD Connect direkt auf einem Domänencontroller installiert werden.

Aus meiner Sicht ist der interessanteste Punkt jedoch, dass zukünftig ein Upgrade direkt von DirSync auf AAD Connect möglich sein soll, wobei die Konfiguration beibehalten wird.

 


Filtering and Configuration

       

Feature

Azure Active Directory Synchronization Tool (DirSync)

Azure Active Directory Synchronization Services (AAD Sync)

Azure Active Directory Connect

Forefront Identity Manager 2010 R2 (FIM)

Filter on Domains and Organizational Units

X

X

PP (this feature is configured in AAD Connect via the Synchronization Service Manager)

X

Filter on objects’ attribute values

X

X

PP (this feature is configured in AAD Connect via the Synchronization Service Manager)

X

Allow minimal set of attributes to be synchronized (MinSync)

 

X

PP

 

Allow different service templates to be applied for attribute flows

 

X

PP

 

Allow removing attributes from flowing from AD to Azure AD

 

X

CS

X

Allow advanced customization for attribute flows

 

X

PP (this feature is configured in AAD Connect via the Synchronization Service Manager)

X

 

Die Featureübersicht zu dem Thema “Filtering and Configuration” zeigt, dass Microsoft in allen Tools Möglichkeiten zur Reduzierung der zu übertragenen Daten mitliefert. DirSync bietet hierbei den geringsten Umfang und beschränkt sich auf die Einschränkung der zu synchronisierenden Konten. Diese können entweder auf Domänen und Organisationseinheiten oder über bestimmte Attributwerte gefiltert werden. Dieses ermöglicht einem auf einfache Weise zum Beispiel nur Konten zu synchronisieren, die über eine E-Mail-Adresse verfügen.

AAD Sync bietet genauso wie AAD Connect und FIM 2010 R2 zusätzliche Möglichkeiten zur Einschränkung der zu übertragenden Attribute an. Hierbei können zum Beispiel Attribute, die zwar im Active Directory gepflegt sind, aber nicht in die Cloud synchronisiert werden sollen, von der Synchronisation ausgeschlossen werden. Microsoft liefert unter dem Link (https://msdn.microsoft.com/en-us/library/azure/dn764938.aspx) Informationen welche Microsoft Cloud-Dienste welche Attribute für einen reibungslosen Betrieb benötigen.

Fazit

Microsoft wird zukünftig AAD Connect als das Tool zur Synchronisation von Azure Active Directory und allen dazugehörigen Cloud-Services platzieren. Dieses ist aus meiner Sicht auch sinnvoll, da damit die Unsicherheit der Anwender, welches Tool das richtige sei, genommen wird. Aus diesem Grund wird Microsoft auch zukünftig keine Verbesserungen mehr in den Tools AAD Sync und DirSync implementieren und die Tools auch nicht mehr einzeln zur Verfügung stellen. Für Szenarien, in denen eine Synchronisation zwischen Azure AD und zum Beispiel SQL-Datenbanken eingerichtet werden soll, wird weiterhin der Forefront Identity Manager die einzige Möglichkeit darstellen.

Im nächsten Teil werde ich dann endlich mit der Technik beginnen und die Installation und Konfiguration des Azure Active Directory Connect erläutern.

Willmar Heinrich: Die Macht der Workflows–oder: was einmal in Gang gesetzt ist…

Hat das was mit IT zu tun? Eigentlich schon – aber der Reihe nach: Meine Frau bestellt bei einem großen Versandhaus ein kleines Geschenk für den Enkel, er hat in Kürze Geburtstag. Was es ist, verrate ich nicht, der 7-jährige ist im Internet schon ganz schön fix und könnte diesen Blog lesen… Gestern Abend, kurz […]

Scolab: SharePoCalypse 24 – Digitally Failed State Teutonia

Microsoft zeigt Europa ihre Quellcodes und niemand glaubt es. Sony Music und Spotify ziehen die Künstler über den Tisch. Der Super-Gau der Deutschen Bundestag-IT ist ein Totalschaden der Demokratie. Schuld daran sind Sie! Sie haben als Bürger versagt! Sony Music unterdrückt … Weiterlesen

Der Beitrag SharePoCalypse 24 – Digitally Failed State Teutonia erschien zuerst auf Scolab.ch.

Carsten Rachfahl [Hyper-V]: Die nächsten Events stehen vor der Tür (IT-Camps & Hyper-V Community)

itcamp_thumbDer Ein oder Andere wird vielleicht schon auf Facebook mitbekommen haben, das wir wieder fleißig IT-Camps ausrichten. Momentan läuft eine Serie die an Hoster adressiert ist, in der das “alte Gespann” – Bernhard und ich; einen Tag lang mit den Teilnehmern eine Private Cloud einrichten (Hyper-V + System Center + Azure Pack + Scale-Out Fileserver). Es sind aktuell noch Plätze frei: Am 2. Juli in Frankfurt und am 8. Juli in Berlin. Wenn es Euch interessiert greift schnell zu.

image

Als Zweites möchte ich Euch auf die bevorstehende Hyper-V Community am 16. Juli bei Microsoft in Unterschleißheim hinweisen.Wir haben wieder einige Vorträge und viel Zeit zum Diskutieren. Also wer noch nichts vor hat, schaut einfach mal vorbei! Zur Anmeldung geht’s hier.

Carsten Rachfahl [Private Cloud]: Meine Session: Let´s Sway auf der MVP-Fusion

Am 30.06.2015 findet die kostenlose MVP-Fusion von 17:00 bis 23:00 Uhr statt. Die MVP-Fusion ist ein Online Event an dem Ihr einfach per Skype oder Skype for Business teilnehmen könnt. Ihr müsst Euch hier anmelden, damit ihr eine Einladung erhaltet. Insgesamt gibt es vier verschiedene Tracks, denen ihr am Abend folgen könnt. Beginnend bei den Developern […]

TechNet Austria [MS]: Win10 debriefing community event

Schön wars, das Community Event “Das neueste zu Windows 10 und anderen coolen Dingen - Zusammenfassung von //build und Ignite am 19. Juni 2015 bei Microsoft Österreich” für IT-Pros und für Developer.

image

Die Agenda der kostenlosen Tagesveranstaltung sah so aus – viele interessante Themen für beide Zielgruppen:

08:30 Auditorium A Auditorium B
09:00 - 10:00 Keynote mit Lukas Keller, Bereichsleiter DX bei Microsoft Österreich und Georg Binder, Microsoft
10:00 - 10:15 Pause und Raumwechsel
10:15 - 11:15 Windows 10 für Entwickler
Roman Schacherl (MVP)
Neues in SCOM und OMS
Stefan Koell (MVP)
11:15 - 11:30 Pause
11:30 - 12:30 Schöne, neue Welt – Web Entwicklung mit Visual Studio 2015
Raphael Schwarz und Rainer Stropek (RD, MVP)
Die Neuerungen von Windows 10 für Anwender und Unternehmen
Georg Binder (Microsoft)
12:30 - 13:30 Mittagspause
13:30 - 14:30 Ein Operator namens Elvis – oder A Lap around .NET 2015 und C# 6
Christian Nagel (RD, MVP)
Office 365 Neuigkeiten
Martina Grom (RD, MVP)
14:30 - 14:45 Pause
14:45 - 15:45 Azure Tidbits. Recap //build and Ignite ‘15
Oliver Lintner, Microsoft
Von Nano Server bis Azure Stack – Wohin entwickelt sich Windows Server?
Helmut Otto (MVP)
15:45 - 16:00 Pause
16:00 - 17:00 Neuigkeiten bei der App-Entwicklung für Office (365)
Toni Pohl (MVP)
Was ist neu in Windows Server 2016 - Virtualisierung, Cluster & Storage
Carsten Rachfahl (MVP)
17:00 - 17:15 Allgemeine Q&A, Closing

Wir hatten viele interessante Sessions und viel Spaß.

Slides und Infos zu den Sessions folgen in Kürze. Hier gibts’ ein Sway mit einigen Schnappschüssen vom Event:
Das neueste zu Windows 10 und anderen coolen Dingen...

An dieser Stelle vielen Dank an Microsoft Österreich, vor allem an Gerhard Göschl, Georg Binder, Oliver Lintner und Lukas Keller, an alle Sprecher aus der Community und natürlich an alle, die dabei waren!

Wir freuen uns auf die nächsten Events!

faq-o-matic: PowerShell zukünftig mit nativen SSH Support!

Kürzlich hat Microsofts PowerShell-Team in einem seiner Blog-Artikel bekannt gegeben, dass zukünftig eine native SSH-Unterstützung in PowerShell geplant ist. Dieses ist ein weiterer Schritt zur Interoperabilität mit der Unix-Welt! Es wird sich demnach auch nicht nur um einen reinen SSH-Client, sondern auch um einen SSH-Server handeln. Die Implementierung wird ebenfalls auf OpenSSH aufsetzen.

Es ist anscheinend nicht der erste Versuch, SSH in PowerShell zu integrieren. Jetzt im dritten Anlauf hat die neue Microsoft-Führung die damit einhergehenden Strategieänderungen ermöglicht. Ein gewisser Druck aus Community und Kundenkreisen war somit nicht umsonst.

Jetzt bleibt demnach noch die Frage: Wann kommt es denn …? Das PowerShell-Team befindet sich nach eigener Aussage noch in einer frühen Planungsphase, wird aber sicher in naher Zukunft weitere Informationen wie Verfügbarkeit veröffentlichen.

SharePointPodcast: SPPD326 Talk mit Yvonne Melzer über Sichere Daten mit Microsoft Information Rights Management


326326 Ausgaben hat es gedauert bis wir uns hier im SharePointPodcast heute erstmals ausführlich mit dem Thema „sichere Daten mit Microsoft Information Rights Management“ beschäftigen. Dazu haben wir Yvonne Melzer von der Novacapta.de zu Gast, die sich intensiv mit RMS beschäftigt hat. Parallel dazu veröffentlichen wir eine 4-teilige Artikelserie, die tiefer in die Grundlagen und Konfiguration von RMS eingeht.

Termine

Talk

  • Yvonne Melzer (Novacapta)
  • Blog der Novacapta
  • Die Artikelserie auf SharePointSocial.de (ab 22.6.2015) befasst sich mit der Einrichtung und Verwendung der Rechteverwaltungsdienste (Rights Management Services, RMS) von Microsoft, die eine sichere Verschlüsselung von Dateien bieten.

Flattr this!

Carsten Rachfahl [Private Cloud]: Neuerungen aus der Roadmap von Office 365 direkt testen

Für mich ist es enorm wichtig, dass ich alle neuen Funktionen und Apps, die in Office 365 von der Produktgruppe zur Verfügung gestellt werden, selbst wenn sie sich noch im Preview befinden, direkt in meinem Plan zur Verfügung stehen. Diese Funktion ist einen langen Weg gegangen. Zuerst zählte es zum Automatismus, dass neue Funktionen direkt […]

Carsten Rachfahl [Hyper-V]: Videointerview mit Matt Garson über Storage Spaces

Videointerview with Matt Garson about Storage Spaces Thumb2

Microsoft Storage Spaces beschäftigen Jan und mich schon seitdem Microsoft sie in Windows Server 2012 vorgestellt hat (sucht einfach mal auf diesem Blog nach Storage Spaces und/oder Scale-out Fileserver).

So hat es mich besonders gefreut, dass sich Matt Garson (Microsoft Program Mananger in der Storage and Filsesystem Team)  auf der Ignite im Mai zu einem Interview bereiterklärt hat.

 

 

Zuerst sprechen wir über Storage Spaces generell und die Möglichkeiten die Windows Server 2012 bereitstellt. Danach behandeln wir die Neuerungen in Windows Server 2012 R2 wie z.B. Storage Tiering. Zum Schluß geht Matt dann noch auf die Neuerungen, die jetzt mit Windows Server 2016 TP2 (Storage Spaces Direct und Rebalancing) kommen, ein. Und Windows Server 2016 ist noch lange nicht RTM also vielleicht kommt da ja noch mehr.

Ich hatte wie immer Spaß beim Interview und hoffe Euch geht es genau so.

Dieter Rauscher: Cumulative Update 9 für Exchange Server 2013

Am 16.6.2015 hat Microsoft das Update 9 für Exchange Server 2013 herausgegeben. Die Versionsnummer erhöht sich dadurch auf 15.00.1104.005.

Die Liste der behobenen Fehler findet ihr im KB-Artikel 3049849.

Weitere Informationen:

Bitte lest euch die Installationsanweisungen im KB Artikel vor der Installation durch. Speziell folgende beiden Anmerkungen:

  • You have to restart the computer after you apply this cumulative update package.
  • After you install this cumulative update package, you cannot uninstall the package to revert to an earlier version of Exchange Server 2013. If you uninstall this cumulative update package, Exchange Server 2013 is removed from the server.

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

Dieter Rauscher: Update Rollup 10 für Exchange Server 2010 Service Pack 3

Exchange Server 2010 befindet sich bereits im Extended Support, sprich, es gibt eigentlich nur noch sicherheitskritische Updates und Zeitzonenupdates “on-demand”, also nur dann, wenn etwas anliegt. Funktionsupdates wird es nicht mehr geben.

Am 16.6.2015 hat Microsoft das Update 10 für Exchange Server 2010 mit Service Pack 3 herausgegeben. Die Versionsnummer erhöht sich dadurch auf 14.03.0248.002. Es werden folgende Fehler damit behoben:

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

Dieter Rauscher: 2 Wochen noch bis zur MVP Fusion Onlinekonferenz

Ja, ok, gestern waren es noch zwei Wochen bis zum 30. Juni. Dann findet ab 17:00 Uhr die erste kostenfreie Onlinekonferenz von MVPs aus Deutschland, Österreich und der Schweiz statt. Ich habe ja schon darüber berichtet. Aus den ursprünglich geplanten 12 Vorträgen sind nun 20 geworden – vielen Dank an alle Referenten, die sich bereiterklärt haben, abends kostenfrei einen Vortrag zu halten. Ganz so selbstverständlich ist es nicht.

Für euch Teilnehmer ist natürlich auch alles kostenfrei – von eurem Internetzugang natürlich abgesehen ;) Ihr braucht auch technisch nichts aufwändiges, Lync Skype for Business oder Browser reicht.

Sebastian Klenk (Microsoft) und Peter Nowak (MVP; Mitorganisator der MVP Fusion) haben ein kurzes Einführungsvideo dazu gedreht, das ich euch nicht vorenthalten möchte:

MVP Fusion 2015 (Youtube)

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

Dieter Rauscher: Update Rollup 17 für Exchange Server 2007 Service Pack 3

Es gibt tatsächlich noch Exchange Server 2007-Installationen. Ein bisschen leichtsinnig finde ich, aber das muss jedes Unternehmen eigenverantwortlich entscheiden. Ich hoffe jedoch, dass überall mindestens Service Pack 3 installiert ist.

Exchange Server 2007 befindet sich bereits im Extended Support, sprich, es gibt eigentlich nur noch sicherheitskritische Updates und Zeitzonenupdates “on-demand”, also nur dann, wenn etwas anliegt.

Am 16.6.2015 hat Microsoft das Update 17 für Exchange Server 2007 mit Service Pack 3 herausgegeben. Die Versionsnummer erhöht sich dadurch auf 8.03.0417.001. Offiziell wird damit nur folgender Fehler behoben:

Weitere Informationen:

Bitte lest euch die Installationsanweisungen im KB Artikel 3056710 vor der Installation durch.

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

Bent Schrader: Datensicherung leicht gemacht: Veeam Endpoint Backup

Nach langer Zeit ist es endlich Zeit für einen neuen Artikel. Aus aktuellem Anlass möchte ich über ein Produkt berichten, welches ich derzeit nicht nur in Kundenumgebungen, sondern auch im privaten Umfeld zur Datensicherung (und Wiederherstellung) einsetze. Das Programm nennt sich Veeam Endpoint Backup, ist kostenfrei zum Download bei Veeam verfügbar und läuft unter den aktuellen Betriebssystemen auf der Clientseite von Windows 7 Service Pack 1 bis hin zu Windows 8.1 und im Serverbereich von Windows Server 2008 R2 SP1 bis Windows Server 2012 R2.

Warum Veeam Endpoint Backup?

Nachdem ich bereits in anderen Artikeln über die Vorteile der integrierten Sicherung von Windows berichtet habe, stellt sich die Frage, warum nun doch ein Produkt eines Fremdherstellers bevorzugt werden sollte. Dabei sind die Vorzüge von Veeam Endpoint Backup derart mächtig, dass die Entscheidung bei einem Vergleich mit Windows Image Backup in der Tat sehr leicht fällt.

Vorteil #1

Veeam Endpoint Backup nutzt – zumindest bei der Sicherung vollständiger Datenträger – Changed Block Tracking (CBT). Dadurch kann die Backup-Software Änderungen auf Grund geänderter Datenblöcke an Stelle von geänderten Dateien ein die Sicherung einbeziehen. Dies ist schnell und effizient. Durch die VSS-Snapshots (auch bei Windows Image Backup), die vor einer Sicherung ausgeführt werden, sind die zu sichernden Datenträger und sämtliche VSS-fähigen Anwendungen (Crash-) konsistent.

Vorteil #2

Veeam Endpoint Backup unterstützt Sicherungen mit der Forward Incremental Forever Technologie. Die Funktionsweise ist in folgendem Veeam-Knowledgebase-Artikel perfekt dargestellt, der Clou ist die einmalige Erstellung eines vollständigen Backups und der anschließenden beliebigen Anzahl von inkrementellen Sicherungen. Die tägliche inkrementelle Sicherung ist so viel schneller als eine tägliche Vollsicherung. Ist die Anzahl an aufzuhebenden Wiederherstellungspunkten (Sicherungen) erreicht, wird automatisch das vollständige Backup mit dem ältesten Inkrement zu einem neuen „synthetischen“ vollständigen Backup „verschmolzen“.

Vorteil #3

Oft und gern wird beim Thema Backup die Wiederherstellung vergessen – ich spreche da aus langjähriger Projekterfahrung. Was Veeam Endpoint Backup mitbringt, ist die einfache Möglichkeit

  • das komplette System (Bare-Metal-Recovery via eigenem Boot-ISO-Image),
  • vollständige Datenträger,
  • oder einzelne Dateien

wiederherzustellen. Und das natürlich GUI-basiert, einfach und intuitiv.

Vorteil #4

Veeam Endpoint Backup kann Daten in drei verschiedenen Arten von Sicherungszielen speichern:

  • lokal angeschlossene Laufwerke (bspw. über USB oder eSATA)
  • Freigaben im Netzwerk über SMB (CIFS) oder NAS
  • Veeam Backup & Replication Repository

Zugegeben, die ersten beiden Möglichkeiten kennt Windows Image Backup auch. Die letzte Option bietet aber in Verbindung mit dem kommerziellen Veeam Backup & Replication einen entscheidenden Vorteil: Die Integration der Sicherungen in das Repository, ohne einen Umweg über die Ablage von VHD-Dateien in einer virtuellen Maschine.

Nachteil #1

Der einzige Mehrverbrauch an Speicherplatz und an CPU-Zeit ist die integrierte Installation der Microsoft SQL Server 2012 LocalDB. Diese wird benötigt, um die CBT-Funktionen zu ermöglichen, der Ressourcenbedarf hält sich aber sehr in Grenzen.

Funktionsweise

Installation

Mit der Installation des etwa 174 MByte großen Paketes werden drei Komponenten auf dem Zielcomputer eingerichtet:

  • Veeam Endpoint Service
  • Veeam Endpoint System Tray Application
  • Microsoft SQL Server 2012 LocalDB

Zudem werden die folgenden Programmverknüpfungen erstellt, die ebenfalls über die System Tray Application aufgerufen werden können:

  • Veeam Endpoint Backup: System Tray Application (Autostart mit Windows)
  • Configure Backup: Einrichtung der zyklischen Sicherung
  • Create Recovery Media: ISO-Image für die Wiederherstellung erstellen
  • File Level Restore: Wiederherstellung einzelner Dateien
  • Volume Restore: Wiederherstellung kompletter Datenträger

Wer bereits Erfahrungen mit Veeam Backup & Replication gesammelt hat, dem kommen die Icons der Programme sicher bekannt vor.

Veeam Programmverknüpfungen

Veeam Endpoint Backup kommt ohne lokale Sprachpakete und damit komplett in englischer Sprache daher. Dies sollte aber für die wenigsten Benutzer ein Problem darstellen. Nach der Installation wird auch die System Tray Application von Veeam Endpoint Backup gestartet, über die Konfiguration, Sicherungen und Wiederherstellungen durchgeführt werden können:

Veeam System Tray Application Menu

Ersteinrichtung

Beim ersten Start fragt Veeam Endpoint Backup, ob es das Veeam Recovery Medium erzeugen soll. Falls ja, so muss im Wizard entschieden werden, ob eine CD gebrannt oder ein ISO-Image erstellt werden soll. Wirklich genial ist die Methodik, dass (mit Hilfe des Betriebssystem-Imageverwaltungstools DISM) gleich System-spezifische Hardware-Treiber integriert werden. Zudem kann man eigene Treiber nach Wunsch ebenfalls in das Image einbinden.

Nach der Erstellung des ISO-Images, dass bei einem Windows 8.1 64-Bit Client etwa 460 MByte groß wird, kann mit der Konfiguration des Backups begonnen werden.

Konfiguration des Backup-Jobs

Eines gleich vorweg: Obwohl Veeam Endpoint Backup durchaus einen unterschiedlichen Sicherungsumfang zulässt, so ist allerdings nur ein einzelner Backup-Job konfigurierbar. Dieser ist aber jederzeit änderbar. Bei der Konfiguration unterstützt wiederum ein Wizard. Im ersten Schritt kann entschieden werden, ob der gesamte Computer (mit allen Datenträgern), einzelne Datenträger oder einzelne Ordner und Dateien gesichert werden soll. Bei der Sicherung auf Volume-Ebene (die beiden ersten Optionen) werden immer alle belegten Blöcke der Datenträger mit Hilfe von CBT gesichert, bei der Sicherung auf Datei-Ebene, erstellt Veeam Endpoint Backup im Sicherungsziel ein Volume in der Sicherungsdatei und synchronisiert die ausgewählten, zu sichernden Dateien.

Configure Backup 1

Bei der Sicherung auf Dateiebene muss beachtet werden, dass hier kein CBT zum Einsatz kommt. Im zweiten Schritt kann nun das Sicherungsziel konfiguriert werden:

Configure Backup 2

Im Beispiel wurde eine Netzwerkfreigabe gewählt, genauso können lokale Datenträger oder (wie weiter oben erwähnt) ein Veeam Backup & Replication Repository verwendet werden. Normalerweise sichert die kommerzielle Lösung Veeam Backup & Replication nur virtuelle Maschinen in Hyper-V- oder Vmware-Umgebungen. Bisher war die Sicherung von physischen Servern (oder auch Clients) nur über Umwege (bspw. Windows Image Backups auf Freigaben in einer virtuellen Maschine, die dann mit Veeam gesichert wird) oder mit Produkten von Drittanbietern realisierbar. Beide Varianten sind unpraktisch, da entweder die Wiederherstellung kompliziert oder aber keine zentrale Verwaltung möglich ist. Mit Veeam Endpoint Backup lassen sich diese Sicherungen nun gut integrieren.

Im weiteren Schritt lassen sich nun der Pfad der Netzwerkfreigabe und die aufzubewahrenden Sicherungen einstellen:

Configure Backup 3

Als Vorschlag bietet Veeam Wiederherstellungspunkte für die letzten 14 Tage an, hier sind aber keine zusammenhängenden Wochentage gemeint, sondern die Tage an denen Sicherungen erstellt wurden. Im Beispiel wurde eine Aufbewahrung der Sicherungen für 3 Tage konfiguriert. Somit werden von Veeam Endpoint Backup eine Voll- und so viele inkrementelle Sicherungen vorgehalten, die während der letzten 3 Tage erstellt wurden, an denen der Computer lief. Im nächsten Schritt sind die Planungseinstellungen einzurichten:

Configure Backup 4

Die periodische tägliche Sicherung eignet sich am Besten für Server und solche Systeme, die permanent laufen. Doch Veeam hat noch einige zusätzliche Optionen ins Spiel gebracht, die sich vor allen Dingen für Client-Computer hervorragend eignen. So können Sicherungen gestartet werden, wenn der Computer gesperrt wird, sich der Benutzer abmeldet oder wenn das entsprechende Sicherungsziel erreichbar wird, also bspw. die externe USB-Festplatte angesteckt wird. Zusätzlich lässt sich ein Minimum-Intervall einstellen, unter dem niemals eine zweite inkrementelle Sicherung erstellt wird.

Nach dem Abschluss des Wizards ist der Job fertig eingerichtet und kann bei Abschluss oder jederzeit manuell ausgeführt werden. Es wird dann einfach ein weiteres Inkrement (oder bei der ersten Ausführung eine Vollsicherung) in der Sicherungskette erstellt.

Sicherungsverlauf

Bei der ersten Sicherung (egal ob manuell oder via Timer oder Ereignis ausgelöst) wird in jedem Fall eine Vollsicherung erstellt. Diese kann, abhängig von Bandbreite und Durchsatz der Quell- und Zielspeicher, eine Weile dauern. In meinem folgenden Beispiel benötigte die Sicherung meiner lokalen SSDs (3 Stück, Volumes C,D und E) mit etwa 110 GB belegten Daten auf ein NAS mit einer einzelnen SATA-Disk über ein 1 GBit Netzwerk etwa 1 Stunde und 36 Minuten:

Veeam Full Backup

Die Sicherung wird komplett im Hintergrund durchgeführt, das Statussymbol (bei Anmeldung) verrät aber die Aktivität und selbstverständlich lassen sich im Control Panel Details zum Vorgang anzeigen.

Veeam Endpoint Backup sichert automatisch relevante Bereiche und lässt wiederum unnötige Daten wie den Papierkorb, temporäre Dateien und die Auslagerungsdateien aus dem Backup heraus. In meinem Fall wurden alle Datenträger und Partitionen gesichert, aber eben nicht die erwähnten Dateien, daher die geringere Größe des Wiederherstellungspunktes.

Ab der zweiten Sicherung erstellt Veeam Endpoint Backup nun nur noch inkrementelle Sicherungen. Dabei bestimmt die Anzahl der geänderten Blöcke (oder eben Dateien), die sich zum vorherigen Sicherungszeitpunkt geändert haben, wie lange diese Sicherung dauert. In meinem Beispiel dauerte die letzte inkrementelle Sicherung nur etwa 4 Minuten:

Veeam Incremental Backup

Einen Überblick über die vorhanden Wiederherstellungspunkte liefert das Status-Fenster des Control Panel (erreichbar über die System Tray Application):

Veeam Endpoint Backup Status

Hier werden Größe (oder Dauer) der Sicherungen und die inzwischen vergangene Zeit angezeigt, mit einem Klick auf einen Balken werden die Details für den Wiederherstellungspunkt angezeigt. Die Farben der Balken zeigen dabei den Status der Sicherungen an:

  • Grün: Die Sicherung war erfolgreich.
  • Gelb: Die Sicherung wurde mit einer Warnung abgeschlossen. (Speicher des Sicherungsziels geht zur Neige)
  • Rot: Die Sicherung war auf Grund eines Fehlers nicht erfolgreich.
  • Grau: Die Sicherung wurde durch den Benutzer abgebrochen.

In den beiden letzten Fällen wurde keine Sicherung erstellt. Das Control Panel bietet außerdem die Möglichkeit einiger allgemeiner Einstellungen.

Veeam Endpoint Control Panel Settings

So lassen sich geplante Sicherungen, Statusmeldungen bzw. Informationen über Updates, Sicherungen über Wählverbindungen und die niedrige Priorität für Backups deaktivieren. Hier kann auch entschieden werden, ob im Status-Fenster die Dauer oder die Größe der Sicherungen angezeigt werden soll.

Prüfungen auf eventuell vorhandene Updates führt Veeam Endpoint Backup automatisch durch und weißt entsprechend daruf hin.

Wiederherstellung

Wichtiger als die Sicherung, zumindest dann, wenn der Fall eintreten sollte, ist eine funktionierende Wiederherstellung. Veeam Endpoint Backup bietet hier mehrere Möglichkeiten.

Offline-Restore

Im Offline-Modus und damit zur Wiederherstellung des kompletten Systems (Bare-Metal-Recovery) muss zunächst das Recovery-ISO-Image gebootet werden.

Veeam-Bare-Metal-Recovery

Hier kann dann der Speicher angegeben werden, auf dem sich die Sicherungen befinden, die für eine Wiederherstellung verwendet werden. Zur Erreichbarkeit von Quellen im Netzwerk lassen dazu vorher die entsprechenden Hardware-Treiber laden. Danach kann ein beliebiger Wiederherstellungszeitpunkt gewählt und entweder vollständig (komplettes System) oder teilweise (einzelne Volumes) zurückgesichert werden. Einzelne Dateien lassen sich über diesen Weg nicht wiederherstellen.

Online-Restore

Mit Veeam Endpoint Backup lassen sich auch zur Laufzeit Daten wiederherstellen. Dazu gibt es wiederum zwei Methoden: Entweder lassen sich ganze Volumes oder einzelne Dateien wiederherstellen. Für den ersten Fall wird das Volume Restore aufgerufen (als Programm oder über das Tray-Symbol):

Veeam Endpoint Recovery 1

Ist der Sicherungsspeicher angeschlossen, werden sofort die verfügbaren Sicherungen und die existierenden Wiederherstellungspunkte angezeigt:

Veeam Endpoint Recovery 2

Nach Auswahl des entsprechenden Wiederherstellungspunktes wird das Disk-Mapping angezeigt – es lassen sich dann nur diejenigen Datenträger oder Volumes zur Rücksicherung auswählen auf denen kein Betriebssystem, Auslagerungsdatei oder Startdateien liegen. In meinem Beispiel soll der Datenträger 2 mit dem Volume Cache wiederhergestellt werden.

Veeam Endpoint Recovery 3

Nach Abschluss der Operation hat der (Block-weise) wiederhergestellte Datenträger genau den Zustand zum Zeitpunkt der Sicherung, später abgelegte Daten werden dabei überschrieben.

Die zweite Variante bietet die Wiederherstellung von einzelnen Dateien und Ordnern über das File Level Restore. Analog zum Volume Recovery ist zunächst der entsprechende Wiederherstellungspunkt auszuwählen:

Veeam File Level Restore

Danach startet der Veeam Backup Browser, der sämtliche Dateien aller in der Sicherung inbegriffenen Volumes in einer Baumstruktur anzeigt:

Veeam Backup Browser

Hier lassen sich beqeuem die betroffenen Dateien und Ordner auswählen, separat in einem Explorer-Fenster öffnen (ähnlich den Schattenkopie-Diensten) und an originaler oder anderer Stelle wiederherstellen.

Erwähnenswertes

Eine nützliche Funktion – wenn auch eher für Notebooks oder auch PCs geeignet – ist die Möglichkeit, den Computers für das Backup aus dem Standy-By aufzuwecken, das Backup durchzuführen und im Anschluss wieder in den Stand-By-Modus zu versetzen. Wer seinen Rechner so verwendet, kann die Sicherung bequem in die Nacht verlagern.

Veeam Endpoint Backup unterstützt lokale Speicherziele (USB-Festplatten, USB-Sticks) für (manuell) rotierende Backups, also Sicherungen auf unterschiedlichen, wechselnden Datenträgern. Dies ist nicht mit einem vollständig integrierten Medien-Management zu verwechseln. Es besteht aber die Möglichkeit verschiedene Geräte für die Sicherungen zu verwenden oder explizit für diese Verwendung auszuschließen.

Bei der Verwendung von Veeam Backup & Replication können Backups die mit Endpoint Protection im Repository gesichert wurden, nicht nur auf Tape ausgelagert, sondern auch mit den Wiederherstellungstools Veeam Explorer für SQL, Exchange oder Dateien zur Rücksicherung verwendet werden.

Weitere ausführliche Details findet man in dem sehr gut dokumentierten Benutzerhandbuch (PDF, 4 MB) für Veeam Endpoint Backup.

Fazit

Da mein Arbeitgeber den Status des Veeam Gold Partners besitzt, kam ich zu Beginn diesen Jahres in den Genuss einer Schulung für Veeam Backup & Replication. Obwohl ich das Produkt schon länger kannte, offenbarten sich dennoch eine Vielzahl von interessanten Fakten. Veeam Endpoint Backup war zum damaligen Zeitpunkt allerdings noch nicht verfügbar. Auf Grund einiger aktueller Veeam-Projekte und der Notwendigkeit der Sicherung von physischen Maschinen stieß ich auf das Produkt. Ich hoffe, ich konnte mit dem Artikel dem einen oder anderen eine Möglichkeit zur Sicherung von physischen Systemen aufzeigen – zumal das Ganze keinen Cent kostet.

Wünschenswert wäre eine zukünftige Möglichkeit zur zentralen Verwaltung, Verteilung und Konfiguration von Endpoint Backup Clients im Unternehmen, eventuell auch mit Veeam Backup & Replication. Vielleicht kommt da schon etwas mit der neuen Version 9 im Herbst diesen Jahres?

Bei Fragen zum Vorgehen oder auftauchenden Problemen nutzt bitte die Kommentar-Funktion. Wie bei allen meinen anderen Beiträgen gilt auch hier wieder: Für Tipps, Vorschläge sowie Fragen oder Kritiken bin ich stets offen.

faq-o-matic: ADFS: Konfigurations-Report erzeugen

Eine ADFS-Installation besteht aus vielen einzelnen Komponenten. Wer so etwas einrichtet, benötigt eine Dokumentation der Konfiguration. Das ist manuell ein ziemlich großer Aufwand.

Glücklicherweise bringt ADFS seit Version 2.0 eine PowerShell-Schnittstelle mit, die man zum Reporting einsetzen kann. Der MVP-Kollege Jorge de Almeido Pinta hat vor einiger Zeit ein Migrations-Skript für ADFS erzeugt, das zunächst mit einer Sammlung aller Konfigurationsdetails beginnt. Dieses erste Skript habe ich mir ausgeliehen und etwas angepasst. So dient es als Grundlage für einen automatisierten Report.

Das Skript benötigt ganz am Anfang des Codes eine kleine Anpassung: In Zeile 17 hinterlege man einen passenden Ordner (hier: C:\install). Den Rest der Zeile am besten so lassen, dann legt das Skript bei jedem Durchlauf eine neue Datei an, die es nach dem Computer und dem aktuellen Zeitstempel benennt.

Das ist alles. Das Skript erwartet keine Parameter, man kann es aus der PowerShell-Konsole (oder besser aus der PowerShell ISE) einfach starten. Bei Bedarf setze man vorher die Ausführungsrichtlinie mindestens auf „RemoteSigned".

Note: There is a file embedded within this post, please visit this post to download the file.

Der Skriptcode gewinnt keinen Schönheitspreis, ist aber ausreichend funktional. Der Report liegt hinterher als Textdatei vor.

Hier die Originalquelle von Jorges Skript:
https://jorgequestforknowledge.wordpress.com/2014/03/12/additional-powershell-scripts-for-migrating-adfs-v2-x-to-adfs-v3-0/

Carsten Rachfahl [Private Cloud]: The latest on Office 365 Groups

What are Office 365 Groups? von Christoph Fiessinger Microsoft – richtig tolle Zusammenfassung mit vielen Links für mehr Informationen Quelle: The latest on Office 365 Groups

Hans Brender: OneDrive for Business | MVP Fusion – die Online Konferenz am 30.6.15

MVPFusion

am 30.6.2015, das ist ein Dienstag, startet die virtuelle Konferenz MVP Fusion. Und ich werde mit einem Beitrag zu OneDrive for Business dabei sein.

hier erst einmal ein Video-Trailer, der alles erklärt:

MVP Fusion 2015

mehr über mich dann hier:

thttp://mvpfusion.azurewebsites.net/2015/06/07/hans-brender-speaker-mvp-fusion/

also Termin schon mal vormerken: 30.6.2015 17:00 Uhr bis 23:00 Uhr


Arnd Rößner: Jetzt anmelden – das Terrabit Business BBQ am 18. Juni

Top-Thema IT der Zukunft: Welche tiefgreifenden Änderungen sind angesichts Industrie 4.0, Big Data und künstlicher Intelligenz zu erwarten? Was ist heute schon Realität? Welche Technologien stehen unmittelbar vor dem Durchbruch? Antworten gibt es zum Terrabit Business BBQ am Donnerstag, 18. Juni ab 15 Uhr in Reutlingen. Melden Sie sich gleich heute noch zum Business BBQ an: event@terrabit.de Alternativ können Sie sich auch via Fax mit Nennung Ihres Namens, Firmenanschrift sowie Telefonnummer mehr [...]

Arnd Rößner: Microsoft Surface Hub ab dem 1. Juli in Deutschland vorbestellbar

das Großbild-Device Microsoft Surface Hub wird ab dem 1. Juli für deutsche Unternehmenskunden und in 23 weiteren Märkten weltweit vorbestellbar sein. Die weltweite Auslieferung von Surface Hub beginnt im September dieses Jahres. Surface Hub ist konzipiert für die moderne Zusammenarbeit in Unternehmen und kommt, je nach Bedarf und Raumgröße, in zwei Varianten: Als 55 Zoll-Gerät mit Intel® Core™ i5 sowie als 84 Zoll-Gerät mit Intel® Core™ i7. Interessierte Kunden ordern das Gerät über mehr [...]

Carsten Rachfahl [Hyper-V]: Schnell noch anmelden zum SCU Satellite Event Germany

08062015-SCU-BannerEinmalig in diesem Jahr findet am Mittwoch, dem 17.06.2015 von 9:00 - 18:00 Uhr die deutsche SCU Satelliten Conference bei Cisco in Eschborn statt. Insgesamt konnten wir 7 tolle Sprecher, davon vier MVP’s, für das Event gewinnen. Weitere MVP’s werden anwesend sein und für Gespräche zur Verfügung stehen.

1. HYPER-V UND SYSTEM CENTER AUF CISCO UCS

2.PRIVATE CLOUD IAAS- VIRTUAL MACHINE MANAGER & WINDOWS AZURE PACK

3. SYSTEM CENTER OPERATION MANAGER

4. WAS IST NEU IN WINDOWS SERVER VNEXT – VIRTUALISIERUNG, CLUSTER & STORAGE

5. MIX AUS SCDPM, SCO, SCSM, SCCM & SCOM

6. AZURE UND HYPER-V - “BETTER TOGETHER”

So lauten die Titel unserer Sessions auf der SCU Satelliten Conference. Mehr zu der Agenda erfahrt Ihr auf der Rachfahl-Events Webseite.

Wer kurzfristig noch Zeit hat: Hier geht es direkt zur Anmeldung – SCU Satellite Conference

Übrigens verlosen wir unter den Teilnehmern neun tolle Preise: Gutschein für unseren 5-Tage Powerkurs, Gutschein für die SCU Europe Conference in Basel, ein Surface Pro 3, das Buch Microsoft Hyper-V und System Center sowie 5x eine Cisco Powerbank. Also die Teilnahme lohnt sich in jedem Fall.

20150615-Verlosung-SCU-Banner_thumb.jpg

 

Dieter Rauscher: Firmwareupdate für das Bose Bluetooth Headset

Seit einigen Jahren nutze ich zum Telefonieren sehr gerne das Bluetooth Headset von Bose:

Bose Headset

Der Tragekomfort und die Sprachqualität ist für mich einfach überragend. Und grundsätzlich bin ich ein großer Freund von Bose-Produkten. Keines meiner Headsets von Bose hat mich bislang enttäuscht.

Durch den Wechsel zu meinem neuen Lumia 640 (Bericht folgt) musste ich das Headset neu verbinden. Logisch, dass ich mir nie merken kann, welche Tastenkombination ich dazu drücken muss. Also schnell in der Suchmaschine meiner Wahl danach suchen. Neben der Bedienungsanleitung habe ich auch eine Anleitung gefunden, wie ich en Firmware Update des Headsets machen kann. Damit hätte ich jetzt irgendwie nicht gerechnet. Leider habe ich auf der Bose Seite keine Versionshinweise gefunden, aber ein Update kann ja nicht schaden, zumal mein aktuelles Headset sicher schon älter als ein Jahr ist.

Dazu muss man das Updateprogram herunterladen und ausführen. Gibt es für Windows und Mac. Die Anwendung beschreibt auch, was genau am Headset gedrückt werden muss, damit das Update eingespielt werden kann (logischerweise muss das Headset per USB Kabel mit dem PC verbunden werden).

Circa zwei Minuten später war das Update fertig:

Update progress

Hier steht jetzt auch die Versionsnummer:

Update erfolgreich

Anhand der Bluetooth Pairing Einstellungen am alten Lumia 630 konnte ich sehen, dass bislang 1.06.00 drauf war.

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security

faq-o-matic: NTFS-Berechtigung anhand von Ordnernamen setzen

Dieser Artikel erschien zuerst auf Daniels Blog.

Aufgrund einer Änderung eines Speicherortes musste eine komplette Struktur von Benutzerordnern neugestaltet werden. Dazu musste die Struktur an einen anderen Speicherort verschoben werden und auch die personenbezogenen Berechtigungen komplett angepasst werden mussten.

Um diese Anforderung umzusetzen habe ich folgendes Skript verwendet:

$Startordner= "X:"
$Domäne = "domain.local"
 
 
foreach($personalfolder in (get-childitem $Startordner| where {$_.psiscontainer -eq $true}))
{
 
$acl= Get-acl ($Startordner + $personalfolder)
 
$user = $Domäne + "\" + $personalfolder
$permission = $user,"FullControl","ContainerInherit, ObjectInherit","None","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
 
$acl | Set-Acl ($Startordner + $personalfolder)
 
}

Dabei werden die Ordnernamen ermittelt und diese verwandt, um ihn mit dem Domänennamen zu verknüpfen. Dieser Datenstamm wird dann auf dem Ordner angewendet, um “Full Access” inkl. der Vererbung für den Hauptordner und allen unterliegenden Objekten.


Ergänzung: NTFS-Berechtigung anhand von Ordnernamen mit Namensanhang setzen

Nach der ersten Fassung dieses Artikels bekam ich eine Anfrage, dass es Applikationen gibt, welche einen Anhang an den Namen anhängen. Dieses kann zum Beispiel ein Domänenname wie “.domain” sein oder eine Versionierung wie “.V2″.

Um dieses zu lösen, muss das Skript nur minimal angepasst werden:

$Startordner= "Y:"
$Domäne = "domain.local"
 
foreach($personalfolder in (get−childitem $Startordner| where {$_.psiscontainer −eq $true}))
 
{
 
$acl= Get−acl ($Startordner + $personalfolder)
 
$userlogin = $personalfolder.Name.split('.')[0]
$user = $Domäne + "\" + $userlogin
$permission = $user,"FullControl","ContainerInherit, ObjectInherit","None","Allow"
$accessRule = New−Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
 
$acl | Set−Acl ($Startordner + $personalfolder)
 
}

Nun wird durch die Splittung und Selektierung des ersten Teils der Ordnerbezeichnung dieser als Vorlage für den Ordnernamen verwandt.

SharePointPodcast: SPPD325 Migrationsvorbereitungen mit Dennis Hobmaier


Migration + Upgrade: Themen, die über die Jahre immer aktuell waren und auch aktuell bleiben. Heute spreche ich mit Dennis Hobmaier von AvePoint über die Dingen, die man vor einer Migration z.B. nach Office 365 bedenken sollte. Vorbereitung ist alles und deshalb geht der erste Tipp in Richtung „Altlasten beseitigen und aufräumen“. Und natürlich noch mehr alles zu hören im Gespräch mit Dennis.

Links

After IGNITE

Auf dem After-IGNITE Event der SharePointCommunity am 27.5.2015 in Berlin hatten wir 7 Experten aus der Community eingeladen, die wichtigsten Themen, Ankündigungen und Perspektiven zu SharePoint 2016 in kompakten Vorträgen à 30 Minuten vorzustellen und ihre Bewertungen, Einschätzungen und Empfehlungen zu geben.

 

 

 

Flattr this!

Hans Brender: OneDrive for Business | June–Update

OneDrive for Business, Microsoft

Microsoft has released  this month two patches for OneDrive for Business.

before 06/12/2015 after 06/12/2015
Groove.exe, OneDrive for Business image_thumb[3]

the name of the sync client for OneDrive for Business is groove.exe and located at  X:\Program Files\Microsoft Office\Office15

You see, that are 8 minor steps forward.

What has been changed?

 

KB3054825

This update fixes the following issue:

Memory leaks when you use OneDrive for Business to synchronize files.

KB3054797
  • Improves reliability for Office 2013 applications when you use large libraries.
  • Provides additional auditing information for non–domain-joined computers that synchronize document libraries on the SharePoint server.
  • Improves synchronization for OneDrive for Business.
  • Fixes the following issues:
    • When you try to share a file that is saved on a SharePoint site by using the Invite People function in an Office 2013 application, you receive an error message if the URL of the file contains Czech characters.
    • When you try to open a document in an OneDrive for Business folder in Word 2013, Word 2013 stops responding. This issue occurs if the document is created by using a document template that is saved in an OneDrive for Business folder.
    • When you open certain files in OneDrive for Business folders, files are forked (that is, another duplicate file is created and saved by having the same name as the computer name) or a red "x" character is displayed on the files.
    • After you rename or change files quickly in OneDrive for Business folders, the files remain in Offline mode and cannot be synchronized.
    • When you synchronize files by using OneDrive, all Office files are in the Error state.
    • When you use OneDrive to synchronize a file that is changed on another computer, a red "x" character is displayed on the file.
    • Files on SharePoint Server 2013 servers that have certain configurations cannot be synchronized by using OneNote.
    • When you open a file that is edited by another user in an OneDrive for Business folder, the changes are not applied to the file.

However, these updates are only for msi installed programs

How to determine whether my Office installation is Click-to-Run or MSI-based:

  1. Start an Office 2013 application, such as Microsoft Word 2013.
  2. On the File menu, click Account.
  3. For Office 2013 Click-to-Run installations, an Update Options item is displayed. For MSI-based installations, the Update Options item is not displayed.

C2R Version von Office

There should be version 15.0.4727.1002 or higher


Hans Brender: OneDrive for Business | Juni – Update

OneDrive for Business, Microsoft

schon wieder ist ein Monat um. Und wieder gab es ein Update für OneDrive for Business.

vor dem 12.06.2015 nach dem 12.06.2015
Groove.exe, OneDrive for Business OneDrive for Business, Groove.exe

Der Name des Synchronisations-Client für OneDrive for Business ist Groove.exe und befindet sich im Programm-Verzeichnis: X:\Program Files\Microsoft Office\Office15

Und wie wir erkennen können, hat Microsoft wieder 8 Minor-Schritte vollzogen.

Was hat sich geändert?

KB3054825 Dieses Update schließt Speicher-Lücken, die beim Synchronisieren von Daten aufgetreten sind.
KB3054797 Dieses Update behebt Probleme bei Synchronisieren mit dem Umgang von Office 2013 Anwendungen. Hier zeigt sich wieder einmal, dass nicht nur der Synchronisierung-Dienst OneDrive for Business (Groove.exe) Fehler beinhalten kann, sondern auch die Office-Anwendungen selbst.

Um Einzelheiten zu den Fehlerbehebungen zu erhalten, bitte auf den Link klicken.

So ganz nebenbei. Ich habe hier die deutschen Links angegeben. Wer der englischen Sprache mächtig ist, der kann im Browser 5 Zeichen ändern, um auf die amerikanischen Original Seite zu kommen:

Aus

https://support.microsoft.com/de-de/kb/3054797

wir dann

https://support.microsoft.com/en-us/kb/3054797

Wie immer gelten diese Updates nur für MSI Installationen.
Bei C2R Installationen sollten die Updates automatisch installiert werden

Sie wissen nicht, ob Sie eine Klick-und-Los (C2R) oder eine MSI Installation haben?

Starten Sie eine Office 2013-Anwendung wie Microsoft Word 2013.

  1. Auf die Datei Menü klicken Sie auf Konto.
  2. Für Installationen von Office 2013 Klick-und-Los ein -Update-Optionen Element wird angezeigt. MSI-basierte Installationen der Update-Optionen Element nicht angezeigt.

C2R Version von Office

Hier sollten die Version 15.0.4727.1002 oder höher sein.


faq-o-matic: Hyper-V: Firewall virtuell betreiben?

Kürzlich erschien ein Gastartikel im TechNet-Blog Deutschland, der sich mit einer „exklusiven" Netzwerkkarte für Firewalls in Hyper-V beschäftigt:

[QuickTip Hyper-V: Netzwerkkarte exklusiv nutzen – TechNet Blog Deutschland]
http://blogs.technet.com/b/germany/archive/2015/05/20/quicktip-hyper-v-netzwerkkarte-exklusiv-nutzen.aspx

So, wie es der Artikel darstellt, ist das Vorgehen zwar nicht richtig falsch, aber doch unvollständig und gefährlich.

Die Grundfrage, die der Artikel leider auslässt, lautet: Darf man eine Firewall virtuell betreiben? Und wenn ja, darf dies auf einem Host geschehen, der noch andere VMs hält?

Der in dem Artikel beschriebene Weg zeigt auf, wie man einen vSwitch so einrichtet, dass das Management OS keine eigene vNIC (virtuelle Netzwerkkarte) daran bindet. Das heißt aber noch lange nicht, dass „der Host … nichts damit zu tun hat". In Hyper-V ist das Management OS (auch bekannt als “Parent Partition”) an jedem I/O-Vorgang beteiligt, schließlich muss der Traffic ja durch den Virtualisierungs- und Treiberstack, und der liegt bei Hyper-V nun mal in der Parent Partition. (In anderen Plattformen ist es nicht exakt genauso, aber das Prinzip trifft dort auch zu.)

Daneben ist auch nicht sichergestellt, dass außer der Firewall-VM kein Computer an die Netzwerkkarte könne (im Blogtext ganz unten). Dazu fehlt schon in der Darstellung in dem Artikel der Hinweis, dass man an den betreffenden vSwitch natürlich auch keine andere VM binden darf. Das ist technisch ja nicht ausgeschlossen, sondern man muss es organisatorisch sicherstellen.

Und schließlich ist der ganze Ansatz auch noch fragwürdig: Eine Firewall sollte immer von internen Ressourcen getrennt sein. Das bedeutet aber gerade, dass man sie nicht mit internen VMs auf demselben Host betreiben darf – und genau dieser Hinweis fehlt. Jedes Virtualisierungssystem, insbesondere Hyper-V, hat bei aller „Isolation" der VMs immer eine Verbindung zum Hypervisor bzw. zum Management-OS. Bei Hyper-V ist das besonders deutlich durch den VMBus, der eine geteilte Ressource ist. Und natürlich stellt der ein Angriffsziel dar, mit dem man potenziell aus der VM ausbrechen kann. So ein Risiko will man bei einer Firewall ja gerade nicht haben.

Man mag nun einwenden, dass das ein theoretisches Risiko ist – ist es aber nicht, wie vor einigen Jahren ein bekannter Angriff auf VMware gezeigt hat, der über eine geteilte Ressource (damals war es der Grafikspeicher, der Hack ist als „Cloudburst" bekannt) von einer VM auf jede andere oder auch auf den Host kam. Solche Fehler kann es natürlich auch in Hyper-V geben. Daher muss man VMs, die zu einem unsicheren Netzwerksegment gehören, physisch von internen VMs trennen.

Carsten Rachfahl [Private Cloud]: Himmlische-IT Podcast Folge 39: The Vision of Ignite

Lange habt ihr auf den neuen Podcast warten müssen. Der Grund, Carsten und ich waren so viel viel unterwegs, dass wir keinen gemeinsamen Abend fanden, wo wir einen Podcast machen konnten. Das er etwas länger geworden ist, lag aber dann eher an unserer Begeisterung, was wir alles auf der Microsoft Ignite in Chicago sahen und […]

Don't contact us via this (fleischfalle@alphasierrapapa.com) email address.