blog.atwork.at

news and infos about microsoft, technology, cloud and more

DirSync - Serviceaccount tauschen

Als kleiner Gastkommentar darf ich heute mal über das Thema DirSync bloggen. Nachdem mich vor kurzem bei einem Kunden das Problem ereilt hat, will ich das mal mit dem Rest der Welt teilen. Man stelle sich vor, Martina Grom hat einen Kunden davon überzeugt dass er unbedingt Office 365 braucht und dafür natürlich DirSync und ADFS für Single Sign on. Sonst macht das ganze ja keinen Spass. Jetzt wird das brav alles supa installiert und nach ca. 1-2 Wochen hört DirSync einfach auf zu funktionieren. Der Service liefert einen Logonfehler beim Starten. Wie jeder weiss wird beim Setup von DirSync ein “Enterprise Admin” als Service Account angegeben um alle notwendigen Informationen syncen zu können. Dummerweise wird dieser Account aber nicht verwendet um auch den Service zu betreiben. Es wird nämlich ein lokaler Serviceaccount angelegt der mit dem Recht “Logon as a Service” ausgestattet wird. Jetzt gibts mit dem Serviceaccount ein simples Problem. Es ist ein lokaler Account und manche Kunden steuern ihre “Logon as a Service” Rechte per Policy auf Domain level. Warum? Naja – für unterschiedliche Software Verteilungstools oder auch Monitoring Tools kann es Sinnvoll sein einen Account dieses Recht für alle Server zu geben. Jetzt steht man vor dem Dilemma. Nach dem Restart startet der Service nicht mehr, weil der Serviceaccount durch die Policy weggeworfen wurde. Den lokalen Account in eine DomainPolicy zu geben ist zwar grundsätzlich möglich (über Umwege und sehr hässlich) macht aber auch kein schönes Bild. Warum dann also nicht einfach den lokalen Serviceaccount durch einen Domainaccount tauschen? Naja – weils da ein paar Dinge zu beachten gibt die ich heute erzählen will: Fangen wir an: Services Stoppen Folgende beiden Services müssen gestoppt werden: - “Forefront Identity Manager Synchronization Service” - “Windows Azure Active Directory Sync Service” Lokale Berechtigungen Der Serviceaccount benötigt “Logon as a Service“ Rechte auf dem lokalen Server. SQL Service Berechtigungen In der lokalen SQL Instanz genannt „MSONLINE“ gibt es eine Datenbank auf die der Serviceaccount als DBO definiert werden muss. Leider ist per Default kein SQL Management Studio installiert. Das SQL Management Studio Express (Free!) kann unter folgendem Link heruntergeladen werden: http://www.microsoft.com/en-us/download/details.aspx?id=29062 (Filename: ENU\x64\SQLManagementStudio_x64_ENU.exe) Nach der Installation einfach das Management Studio aufrufen und auf die Lokale MSONLINE Instanze verbinden: (<Hostname>\MSONLINE) Danach wird der neue ServiceAccount als Login angelegt und auf die FIMSynchronizationService Datenbank als DB_Owner berechtigt. Encryption Keys Die Passwörter des FIM sind verschlüsselt mit den Credentials des alten Service Accounts. Damit ergibt sich das Problem das wir diese Encryption Keys nicht recovern können da wir das Passwort des original Serviceaccounts nicht kennen. Damit der Service aber funktioniert müssen diese mit dem zukünftigen Service Account verschlüsselt werden. Das Tool dafür ist unter folgenden Pfad zu finden: “C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\Bin\miiskmu.exe” Nach Aufruf muss die option “Abandon key set (requires service to be stopped)“ ausgewählt werden. Eintragen des neuen Service Accounts damit dieser für die Verschlüsselung verwendet werden kann. Das generierte Key set wird danach exportiert und in einem File gespeichert. Der FIM Service wird danach automatisch gestartet um neue Keys zu generieren. MIIS Client Rechte Nachdem die Encryption Keys sämtliche Passwörter geschützt haben und durch den wechsel verloren gegangen sind, muss man alle notwendigen Passwörter neu eintragen. Dafür den MIIS Client aufrufen unter: „C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exe“ Dort ist im Bereich der Management Agents der ServiceAccount für den Directory Access einzutragen. Falls noch unbekannt – Passwort einfach resetten (Der User liegt im BuiltIn Container der Domain) und hier eintragen. Zweiter Step ist auf dem TargetWebService und der ServiceAccount für den Access für die Office 365 Wolke. Auch hier ist das Passwort entsprechend nachzutragen und falls unbekannt zu resetten. Damit sollte alles notwendige getan sein damit die Synchronisation wieder funktioniert. Abschliessend einfach eine Powershell aufrufen das PS Snapin laden und die Synchronisation anstossen. PS C:\> PS C:\> Add-PSSnapin Coexistence-Configuration PS C:\> Start-OnlineCoexistenceSync PS C:\> Im MIIS Client kann dies entsprechend kontrolliert werden: Dort sollten die Synchronisation Status auf Success stehen.   Damit – viel Spass damit und bei Fragen gern jederzeit her damit! LG Christoph

Microsoft veröffentlicht den Transparenzreport zum Datenzugriff auf bei Microsoft gehostete Daten

Microsoft veröffentlicht den Transparenzreport 2012 in dem alle Datenzugriffe, die von Vollzugsbehörden bei Microsoft angefragt wurden, aufgezählt wurden. In diesem Report werden Anfragen von Exekutivorgangen ebenso aufgezählt wie jene durch Gerichtsbeschlüsse. Die Services hierbei sind alle Online und Clouddienste von Microsoft – und zwar die privaten Dienste wie Hotmail/Outlook.com, SkyDrive, XBox Live, Skype und die Unternehmensdienste wie Office 365 und Windows Azure. Skype wurde in diesem Bericht aufgrund der Aquise 2011 noch in einem extra Report gerechnet. Die Anfragen adressieren zum größten Teil die kostenlosen Services (Hotmail/Outlook.com, Skydrive, Messenger, Skype). Die Zahlen im Detail Insgesamt gab es 75.378 Anfragen (was ca. 137.424 Accounts betrifft), weniger als 0,02% der fast 700 Mio. aktiven Konten sind damit betroffen. 18% der Anfragen ergaben keine Weitergabe von Kundendaten. 79,8% ergaben keine Weitergabe von Inhalten. 2,2% ergaben eine Weitergabe von Inhalten. Von insgesamt 75.378 Anfragen waren bei 11 Anfragen die Unternehmensdienste (Office 365, Windows Azure, CRM Online) betroffen. Sieben davon wurden entweder abgelehnt oder die Anfrage an den Kunden weitergeleitet. D.h. nur insgesamt 0,01% aller Anfragen betrafen die Unternehmensservices. Grafisch sieht das so aus:   Top Anfragen nach Land Die Top 5 anfragenden Länder sind in absteigender Reihenfolge: Türkei USA UK Frankreich Deutschland Interessant dabei ist, dass am Beispiel Deutschland 8.419 Anfragen insgesamt keine Anfrage zu einer Inhaltsweitergabe führte und 7.088 Anfragen zu einer Basisinformationsweitergabe führten. Laut dem Report liegen für 46 Länder Daten vor, für Österreich und die Schweiz liegen nur Daten im Skype Report vor, keine im allgemeinen Report. Was sind Basisinformationen Basisinformationen beinhalten Login, E-Mail Adresse, Standort, IP Adresse. Hier ein Beispiel: Weiterführende Links Law Enforcement Request Report 2012 Microsoft Online Privacy Statement Skype Privacy Policy Office 365 Trust Center

Wie Sie mit der Lync Web App an Besprechungen teilnehmen können

Die Lync Web App ist nützlich, wenn Sie an einem Computer arbeiten, an dem noch kein Lync Client installiert ist. In diesem Fall wird die Lync Web App gestartet und Sie können an Besprechungen direkt über den Browser teilnehmen. Mit Lync 2013 und Lync Online mit Office 365 (jene Tenants, die bereits auf der neuen Version sind, also Lync 2013 als Server in Office 365 haben) und einem aktuellen Betriebssystem haben Sie nun auch Audio und Video in Ihrer Webkonferenz. Die Lync Web App unterstützt folgende Plattformen: Windows 8 mit IE 10, Firefox ab Version 12, Safari ab Version 5, Chrome ab Version 18 Windows 7 mit IE ab Version 7, Firefox ab Version 12, Chrome ab Version 18 Windows Vista IE9 und IE8, Firefox ab Version 12, Chrome ab Version 18 Windows XP SP3 IE8, Firefox ab Version 12, Chrome ab Version 18 Windows Server 2012 R2 SP1 mit IE ab Version 7, Firefox ab Version 12, Chrome ab Version 18 Mac OS-x Firefox ab Version 12, Safari ab Version 5, Chrome ab Version 18 Audio und Video Support wird mit Lync 2013 und Windows 7, Windows 8, Windows Server 2008 R2 und Mac OS unterstützt. Mac OS unterstützt in der Web App das Desktop Sharing nicht. Sollten Sie eine Lync Online Besprechung ohne Outlook vereinbaren wollen, machen Sie das über den Lync Web Scheduler (https://sched.lync.com/) Der Lync Web Scheduler bietet Ihnen die Möglichkeit, ein Lync Meeting zu vereinbaren und dieses dann an Ihre Teilnehmer zu versenden. Klickt nun einer der Teilnehmer auf die Einladung, der kein Lync installiert hat, wird die Lync Web App gestartet. Dann wird ein Plug-In installiert. Nach Start des Plug-Ins meldet sich die Windows Firewall (sofern aktiviert) und fügt die entsprechenden Ausnahmeregelungen hinzu. Sobald nun alles konfiguriert ist, haben Sie in Ihrem Browser nun alle Optionen zur Verfügung: Audio, Video, Chat,  Desktopfreigabe usw. In der Desktopfreigabe ist auch die Fernsteuerung möglich. Sie können die Web App übrigens auch im Touch Modus ausführen – praktisch für die Besprechungsteilnahme auf einem Windows RT Device, wo noch nicht die Lync App installiert ist. Tipp: wenn Sie die Lync Web App aufrufen wollen, obwohl Sie Lync installiert haben: einfach an die Besprechungsurl folgenden Parameter anfügen: ?SL=Test Die Lync Web App steht Lync Online Teilnehmern automatisch zur Verfügung. Sollten Sie einen eigenen Lync 2013 Server betreiben, finden Sie hier nützliche Infos zum Deployment der Lync Web App.

Office 365 User mit PowerShell endgültig aus dem Papierkorb löschen oder wiederherstellen

Seit einiger Zeit werden Benutzer, wenn Sie in Office 365 gelöscht werden, in einen Papierkorb gelegt und können von dort 30 Tage lang wieder her gestellt werden (User soft delete). Ein sehr praktisches Feature, spart man damit ja den Supportanruf bei Microsoft, wenn man einen Benutzer wieder herstellen möchte. Möglicherweise ist es jedoch manchmal auch erforderlich, einen Benutzer – oder viele Benutzer, die im Papierkorb sind, zu löschen (User hard delete). Verwendet man Directory Sync ist es durchaus gut, wenn man bei einer Neukonfiguration dann alte gelöschte User mittels Hard Delete aus dem Windows Azure Active Directory löscht. Die PowerShell Befehle dazu finden sich im Microsoft Online Services Modul für Powershell, welches über das Office 365 Portal geladen werden kann. Zunächst mittels Connect-MsolService mit  Office 365 verbinden. User aus dem Windows Azure Active Directory löschen Zunächst einmal alle Benutzer aus dem Directory anzeigen lassen. Tipp: die Ausgabe der ObjectID hilft dann, wenn Sie nur einen User löschen wollen: Get-MsolUser -ReturnDeletedUsers | fl UserPrincipalName, ObjectID Um den gesamten Papierkorb zu leeren, verwenden Sie folgenden Befehl Get-MsolUser –ReturnDeletedUsers | Remove-MsolUser -RemoveFromRecycleBin –Force Der Parameter –Force gibt dabei an, dass nicht jedes Mal eine zusätzliche Sicherheitsabfrage kommt. Dieser Einzeiler kann schon eine ganze Weile laufen, wenn viele User zu löschen sind. Sollten Sie nur einen Benutzer aus dem Directory löschen wollen, verwenden Sie folgenden Befehl, um zunächst die Object-ID des Users zu erhalten: Get-MsolUser –ReturnDeletedUsers –searchstring user1@contoso.com | fl UserPrincipalName, ObjectID Danach mit Eingabe der Guid löschen: Remove-MsolUser  -ObjectID <GUID> -RemoveFromRecycleBin –Force User aus dem Windows Azure Active Directory wieder herstellen Um einen Benutzer, der im Papierkorb liegt, wieder herzustellen verwenden Sie: Restore-MsolUser –UserPrincipalName <UserUPN> -AutoReconcileProxyConflicts -NewUserPrincipalName <UserUPN> Viel Erfolg mit PowerShell!

Tec-Event am 31. Januar bei ETC mit atwork

Gestern fand beim Microsoft Schulungspartner ETC das Tec-Event: Windows 8 und Office365 als moderne Arbeitsplatzlösung statt. Georg Binder von Microsoft zeigte Windows 8 und Windows 8 Funktionen für das Unternehmen, Martina Grom von atwork präsentierte die Neuerungen von Office 365 und verloste am Ende unser Buch Windows 8 Pro.

Office 365–Zugriff auf Postfächer über PowerShell setzen

Ein kleiner Tipp für alle Administratoren, bzw. für jene, die auch Postfächer von anderen Personen verwalten sollen. Dazu werden über PowerShell die entsprechenden Rechte auf das Postfach gesetzt. Ein typisches Anwendungsszenario dafür sind Assistenten, die auf das Postfach Ihrer Vorgesetzten zugreifen müssen oder auch Agenturen, die Postfächer Ihrer Kunden verwalten und in deren Namen senden sollen. Ein weiteres wäre die Notwendigkeit, von einem Office 365 Tenant in einen anderen zu migrieren, z.B. wenn Sie von einem P-Plan in einen E-Plan wechseln wollen und dazu ein Migrationstool einsetzen. Ein weiterer Fall könnte der sein, dass Sie auf eine Shared Mailbox zugreifen möchten. Zuerst wie immer mit einem Administratoraccount anmelden: $cred = Get-Credential $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $cred -Authentication Basic –AllowRedirection Import-PSSession $Session –AllowClobber Hier den Zugriff auf die Mailbox setzen, in diesem Beispiel erhält userB vollen Zugriff auf die Mailbox von userA. Add-MailboxPermission -Identity userA@domain.at -AccessRights fullaccess -user userB@domain.at Kontrolle: Get-MailboxPermission -Identity userA@domain.at und abmelden von der Remote Session: Remove-PSSession $session Die verschiedenen Optionen für Add-MailboxPermission sind: FullAccess SendAs ExternalAccount DeleteItem ReadPermission ChangePermission ChangeOwner Viel Erfolg mit PowerShell!

Microsoft Script Explorer for Windows PowerShell RC

Microsoft hat vor kurzem den Release Candidate des Microsoft Script Explorer for Windows PowerShell veröffentlicht (siehe “PowerShell Scripts mit Script Explorer finden”). Der Script Explorer ist ein Tool zum Finden von PowerShell Scripts zu bestimmten Anforderungen und Themen - eine PowerShell-Suchmaschine!

Exchange User Group Meeting am 27. Juli 2012

Das nächste User Group Meeting der Exchange User Group findet am 27. Juli 2012 ab 18:30 Uhr statt. Die Teilnahme am Meeting ist wie immer persönlich bei Microsoft Deutschland in Unterschleißheim bzw. via Lync möglich. Dieses Mal haben wir Urlaubs- und Konferenzbedingt kein Vor-Ort Treffen in Wien (dafür aber beim nächsten Mal wieder). Bitte jedoch einfach über Lync teilnehmen! Für dieses User Group Meeting haben Walter und ich uns aber etwas besonderes ausgedacht: so stellen wir die Neuerungen von Exchange Server 2013 und Office 365 vor. Hier die Agenda: 18:30 Uhr Begrüßung/Networking 18:45 Uhr Exchange 2013, die nächste Version von Exchange (Walter Steinsdorfer) 20:15 Uhr Networking 20:30 Uhr Was ändert sich bei Office 365 (Martina Grom) 21:30 Uhr Networking 22:00 Uhr Abschlussbesprechung, Termine nächste Meetings Wir freuen uns schon!

Neue Version von MOSDAL verfügbar

Seit letzter Woche ist die neue Version von MOSDAL 4.5 (Microsoft Online Services Diagnostic and Logging Support Toolkit 4.5) verfügbar. MOSDAL  ist ein seit einiger Zeit verfügbares Werkzeug, um Probleme rund um Microsoft Online Services Konfigurationen zu analysieren und auszuwerten. In der nun aktuell vorliegenden Version sind Analysetools wie der Exchange Remote Connectivity Analyzer, Domain und DNS Diagnosetools enthalten. Über Testexchangeconnectivity hatten Sie ja bereits bisher die Möglichkeit, Verbindungen zwischen Exchange und Outlook zu analysieren. Diese Testes sind nun auch in MOSDAL verfügbar. Hier können Sie Outlook Anywhere testen, ebenso wie Outlook Autodiscover. Der Exchange Hybrid Deployment Test hilft und sammelt Logfiles rund um die Konfiguration von hybriden Deployments. Domain und DNS Services Test: hier fragt MOSDAL zunächst die korrekten DNS Einträge ab. Tests können nun parallel aufgerufen werden, was die Diagnosezeit reduziert. Wie schaut das Tool nun in Aktion aus? Nachdem Sie nun auswählen, welche Tests Sie durchführen wollen, melden Sie sich mit Ihren Online Services Daten an und können dann weiter analysieren. Die Tests werden gestartet. Nach der Analyse erhalten Sie Ihr Ergebnis, dieses kann dann auch in einen etwaigen Supportcase mit aufgenommen werden. Praktischerweise zippt das Tool die Report’s auch gleich. In den Reports können dann die Ergebnisse durchgesehen werden. Hier noch ein paar Links: Download von MOSDAL 4.5 und des MOSDAL Trainings MOSDAL Knowledgebase Artikel

Jump Start Training zur Office 365 Zertifizierung

Seit kurzem stehen die beiden Office 365 Zertifizierungen, 70-321 Deploying Office 365 und 70-323 Administering Office 365 zur Verfügung, wobei 70-323 die Voraussetzung für 70-321 darstellt. Diese Zertifizierung richtet sich an IT Pro’s, die Ihr Wissen rund um Office 365 auch zertifiziert haben wollen. Werden beide Prüfungen bestanden, erhält man den Titel Microsoft Certified IT Professional (MCITP): Office 365 Administrator. Für diese Kurse gibt es auch immer Microsoft Jump Start Trainings, das nächste findet vom 30. Mai 2012 bis 1. Juni 2012, jeweils von 18:00-01:00 Uhr, statt. Der Kurs beinhaltet folgende Themen, Achtung, die Kurse finden in Englisch statt: 30. Mai 2012, Tag 1: Administering Office 365 (Vorbereitung für 70-323) Mod 1: Office 365 Überblick Mod 2: Office 365 Identity Management Mod 3: Office 365 ADFS Mod 4: Administering Exchange Online – Part 1 Mod 5: Administering Exchange Online – Part 2 Mod 6: SharePoint Online Mod 7: Lync Online 31. Mai 2012, Tag 2: Deploying Office 365 (Vorbereitung für 70-323) Mod 01: Office 365 Namespace Planung Mod 02: Office 365 Directory Synchronization Mod 03: Office 365 Single Sign-on Mod 04: Office 365 Security & Networking Mod 05: Deploying Lync Online – Part 1 Mod 06: Deploying Lync Online – Part 2 1. Juni 2012, Tag 3: Deploying Office 365 (Vorbereitung für 70-323) Mod 07: Deploying Exchange Online—Mail und Routing Mod 08: Exchange Online Hybrid Deployments – Part 1 Mod 09: Exchange Online Hybrid Deployments – Part 2 Mod 10: Exchange Online Archiving Mod 11: Exchange Online Unified Messaging (UM) Mod 12: Deploying SharePoint Online – Part 1 Mod 13: Deploying SharePoint Online – Part 2 Das Jump Start Training ist kostenlos, hier gehts zur Anmeldung! Viel Erfolg bei Ihrer Office 365 Zertifizierung!

Windows Azure lernt Active Directory

Active Directory (AD) ist eine wichtige Funktion von Windows Server. AD ist ein Identity Management System, welches beispielsweise Single Sign On (SSO) ermöglicht und Zugriff auf Ressourcen steuert. Windows Azure Active Directory ist ein stabiles Identity und Zugriffssteuerungs-System für Microsoft Office 365 und Windows Azure Applikationen!