blog.atwork.at

news and infos about microsoft, technology, cloud and more

Office 365 DNS Checks

Office 365 wird ständig verbessert. In jeder Ecke tut sich etwas und viele kleine Verbesserungen bemerkt man erst, wenn man direkt mit der Nase drauf gestoßen wird. Mir ist heute zum Beispiel in der DNS Domain Verwaltung eine kleine aber feine Verbesserung aufgefallen. Bisher konnte man beim einbinden seiner Custom Domains einen Domainzweck festlegen. Es gibt hier zur Auswahl Exchange, Lync, Sharepoint. Danach werden einem die dafür notwendigen DNS Einträge angezeigt. Oft ist es aber so, das man gewisse Records noch nicht, oder generell gar nicht eintragen will. Ein Beispiel ist der Autodiscover oder MX Eintrag. Dieser kann manchmal nicht einfach sofort geändert werden, in einem Hybrid Umfeld muss Autodiscover sogar On-Premises bleiben. Trotzdem beschwert sich die DNS Verwaltung mit einem unschönen "Possible Service issues" Fehler. klickt man dann auf Fix Issues kriegt man die schöne Liste an DNS Einträgen die zu setzen wären und auch genau welcher Eintrag nicht stimmt. In meinem Fall kann ich aber Autodiscover nicht umlegen und bin daher eigentlich frustriert. Jetzt hat sich da rechts ein kleines Hackerl eingeschlichen. "Don't check this domain for incorrect DNS Records." Hey cool - Einfach Hackerl setzen und schon ist der Fehler in der Domainüberprüfung weg. Einziger Pferdefuß ist, dass man damit auch wirkliche Fehler die eventuell bei DNS Zonen Änderungen passieren, versteckt. Falls so etwas vermutet wird, einfach in der Liste der Domains auf find and fix issues klicken und das Hackerl wieder rausnehmen. Dann wird auch sofort wieder überprüft welche Records korrekt oder falsch sind. LG Christoph

DirSync und Proxy Einstellungen

Gerade in großen Umgebungen gibt es neben einigen Firewalls sehr oft natürlich auch HTTP / HTTPS Proxy Server die zur Sicherheit den Verkehr von Clients nach extern überprüfen sollen. Gerade wenn sie Dirsync im Einsatz haben kann das häufig zu Konfigurationsproblemen führen und führt zu einigen Verwirrungen. Das Problem? Ihr Dirsync Server steht im internen LAN und muss aber für die Synchronisation mit dem Azure Active Directory mit dem Internet kommunizieren. Der Firewall Mensch sagt aber "nein - verwendet den Proxy". Es gibt auch Konstellationen, wo das Default Gateway des Servers nicht der Weg ins Internet ist. Ich kenn das so jetzt eher selten, aber hatte zuletzt einen Kunden mit dieser Situation. Die fast Lösung? Normalerweise fangen Admins jetzt immer an wie wild mit Netsh, Proxy Policy oder dgl. rumzubasteln nur um festzustellen das die Firewall trotzdem alles ablehnt und der Proxy nur die Hälfte zu sehen bekommt. Die ganze Lösung? Man mag es kaum glauben, aber etwas versteckt hat DirSync die Möglichkeit bekommen einen Proxy für die Kommunikation nach außen zu setzen. Wichtig: es ist ein unauthenticated Proxy – ansonsten bitte die entsprechenden Ausnahmen setzen. Über die von DirSync mitgelieferte Coexistence-Configuration PSSnapins ist es möglich die aktuellen Proxyeinstellungen des Users auf den Service anzuwenden. Dafür einfach: Add-PSSnapin Coexistence-Configuration Update-MSOLDirSyncNetworkProxySetting ausführen und schon funktioniert das Ganze auch mit Proxy. Was ich leider nicht testen konnte - SSL Interception. Also sollte jemand hier Erfahrungswerte beisteuern können, jederzeit gerne. LG Christoph

Exchange 2013 Hybrid Wizard Fehler

Für alle die aktuell versuchen einen Exchange 2013 Hybrid Wizard auszuführen. Leider gibt es seit kurzem einen kleinen Bug der dafür sorgt das dies aktuell nicht möglich ist. Die Fehlermeldung zeigt eine SerializationException und beginnt ungefähr: Updating hybrid configuration failed with error ‎'Subtask CheckPrereqs execution failed: Check Tenant Prerequisites Deserialization fails due to one SerializationException: Microsoft.Exchange.Compliance.Serialization.Formatters.BlockedTypeException: The type to be ‎(de)‎serialized is not allowed: Der dazupassende KB Artikel ist seit kurzem Online und lässt aktuell noch keine genauen Informationen los. Man muss für eine Lösung auch leider den Support bemühen. http://support.microsoft.com/kb/2988229/en-us Wenns was neues dazu gibt, dann poste ich natürlich sofort ein Update. LG Christoph

SharePoint Online UserProfiles and the story about synchronizing with Azure Active Directory–Part 2

In part one we saw that SharePoint Online user profiles are partly synchronized from Azure Active Directory automatically. Apps can bypass the whole AAD story and write directly into specific SharePoint user profiles.

SharePoint Online UserProfiles and the story about synchronizing with Azure Active Directory–Part 1

Of course, Office 365 uses Azure Active Directory for storing user information. Since SharePoint and SharePoint Online both have it´s own User Profile Service and User Store it was clear for Microsoft that some of the user properties have to be shared between these to storages. Here´s the story how to work with.

I Am MEC–Session about Remote Control Office 365 with Microsoft Azure

This week, from March 31th to April 2nd, the Microsoft Exchange Conference 2014 takes place in Austin, Texas. Austin is a great city and it´s fun to be here an to be part of the conference! Find our slides and our code sample here.

SPC14 Sessions sind verfügbar

Kaum eine Woche ist es her, dass in Las Vegas die SharePoint Conference 2014 (#SPC14) stattgefunden hat. Für Alle, die nicht dabei sein konnten, hat Microsoft dieses Jahr einen tollen Schritt gesetzt: Alle Sessions der SPC14 gibt es – schon jetzt! - zum kostenfreien Ansehen und Download

Windows Intune–add your custom enrollment address for your mobile device management

In the last couple of weeks I did a lot Windows Intune POC’s with Demo Customer environments. Windows Intune is a great tool for mobile device management, you can add Windows Devices as well as your Windows Phones and iOS Devices. Mobile Device Management made easy, so you can manage your devices. To setup Mobile Device Management you have first decide what the authority of your Mobile Device Management is. Since I am a public cloud addicted, I use Intune the plain way. Of course you can also configure it together with your System Center infrastructure. After you have set that you can now start configuring your Mobile Device Management. If you want to add your mobile devices you’ve to name a management server. In most cases I left it how it was, enterpriseenrollment-s.manage.microsoft.com. Some customers prefer to add their own domain and that’s what today’s article is about. The Technet Documentation describes to add a CNAME record for your domain and afterwards verify it. As someone who knows DNS I thought Intune won’t care, which name my CNAME record has, the only important thing is the correct endpoint which is enterpriseenrollment.manage.microsoft.com. So here is the first thing to be aware of: If you add your mobile device manually you have to use enterpriseenrollment-s.manage.microsoft.com. If you try enterpriseenrollment.manage.microsoft.com you cannot add the device. So I set a CNAME for mdm.contoso.com to enterpriseenrollment.manage.microsoft.com. Try to verify it: Why? nslookup shows that everything is correct. So I tried to do it as Technet says: enterpriseenrollment.contoso.com to enterpriseenrollment.manage.microsoft.com Verification fails again. The trick is: Add the CNAME record for contoso.com to enterpriseenrollment.contoso.com. To verify that, simply verify it with the root domain and everything works. Have fun using your own Domain in mobile device management.

Wie Sie mit Hilfe von IdFix Fehler im Active Directory finden und beheben

Gerade mit dem neuen Windows Azure Active Directory Sync Tool ist es besonders einfach, ein lokales Active Directory nach Office 365 zu synchronisieren. Dabei kann man seit einiger Zeit auch die Kennwörter des Active Directories mitsynchronisieren, was bei vielen Unternehmen die Komplexität einer ADFS Infrastruktur nicht mehr erforderlich macht und hilft, trotz zweier Identitäten nur ein Kennwort zu haben. Damit gibt es fast ein SSO Erlebnis da sich die Benutzer mit ihrem gewohnten Kennwort anmelden können, ohne SSO zu sein. Eine kurze Erklärung am Rande, da dies oft missverstanden wird: Es wird nicht das Kennwort aus dem AD im Klartext synchronisiert sondern nur der HASH Wert des Kennwortes, der danach noch einmal, bevor die gesicherte Datenübertragung erfolgt, mit einem SHA256 Algorithmus gehashed wird. Active Directory Domain Services speichert Kennwörter im Active Directory mit diesem doppelt gehashten Wert. Dieser kann nicht für ein Login verwendet werden und kann auch nicht in ein Kennwort “zurückgerechnet” werden, um sich anzumelden. In Windows Azure Active Directory gelten die gleichen Regeln: kein “zurückrechnen”. Das Kennwort wird zu keiner Zeit im Klartext in das Windows Azure Active Directory und damit zu Office 365 übertragen. Azure Active Directory Sync erfordert außerdem nur einen einzigen Server mit Outbound Internet Verbindung, weitere Firewall Einstellungen sind hier nicht nötig (Inbound). Sobald WAADS installiert und konfiguriert ist, erhält ein Administrator dann während des Syncs Informationen, ob es Fehler in der Synchronisierung gibt. Diese gilt es natürlich auszubessern. Mit IdFixIdFix steht ein Tool zur Verfügung, das Ihnen bei der Behebung genau dieser Fehler helfen kann. IdFix fragt Ihr Directory mit Ldap ab und ermittelt mögliche Fehler – und bessert diese auf Wunsch aus. Zuerst einmal laden Sie IdFix herunter und entpacken die Exe. Dann führen Sie IdFix aus – mit einem Account, welches in Ihrem AD lesen UND schreiben darf. Sobald Sie dann auf den Punkt Query klicken, erhalten Sie nach einiger Zeit das Abfrageergebnis. Dieses können Sie exportieren, um die Details anzusehen. Über den Punkt Action können Sie dann Korrekturen vornehmen. Hierbei haben Sie mehrere Optionen: EDIT: Informationen aus der Update Spalte werden verwendet, um die Attribute zu verändern, die einen Fehler verursachen. Ein neuer Wert kann ebenfalls in die Update Spalte manuell eingegeben werden. REMOVE: in diesem Fall wird das falsche Attribut aus dem Objekt entfernt, z.B. bei einer doppelten ProxyAddress. COMPLETE: Der Wert ist ok und soll nicht geändert werden. Wenn z.B. zwei Benutzer die gleiche Proxy Adresse haben, markieren Sie einen der beiden als COMPLETE und den anderen als REMOVE. UNDO: Dieser Wert wird nur angezeigt, wenn Sie ein bereits vorhandenes Update geladen haben. Damit können Sie den letzten Befehl rückgängig machen. FAIL: Dieser Wert wird nur dann angezeigt, wenn ein Wert einen Konflikt erzeugt. Sobald Sie die gewünschten Änderungen mit APPLY durchgeführt haben, verschwinden die angezeigten Fehler nach und nach. Sie haben ebenfalls die Möglichkeit, die Werte zuerst zu kontrollieren indem Sie einen Export in ein CSV machen. Dies passiert über den Punkt Export. Beispiel: der Error-Eintrag Topleveldomain im Proxyaddresses Feld sagt aus, dass eine interne Domain nicht gesynct wird. Hier könnten Sie den Eintrag über REMOVE aus den Proxyaddresses entfernen. Sie sehen, mit diesem einfachen Tool kann Ihr Active Direcory schnell für die Directory Snychronisation vorbereitet werden.

How Delegate 365 can help you with Office 365 Student Advantage

Since beginning of december Microsoft Office 365 Student Advantage is available for educational facilities like schools and universities. With Student Advantage participating schools get free access to Microsoft Office 365 as long as the schools license Office 365 ProPlus or Office Professional Plus for their faculty members. A great deal to get the Office 365 licenses – for free!