atwork.blog

news and infos about microsoft, technology, cloud and more

Windows Azure lernt Active Directory

Active Directory (AD) ist eine wichtige Funktion von Windows Server. AD ist ein Identity Management System, welches beispielsweise Single Sign On (SSO) ermöglicht und Zugriff auf Ressourcen steuert. Windows Azure Active Directory ist ein stabiles Identity und Zugriffssteuerungs-System für Microsoft Office 365 und Windows Azure Applikationen!

Office 365 in hybrider Umgebung und DirSync funktioniert plötzlich nicht mehr-oder wie gehe ich mit Serviceaccounts um

Der Vorteil von hybriden Lösungen mit Office 365 liegt daran, dass sich Benutzer nur mit ihrem Domainlogin anmelden, der Mailboxmove smart in beide Richtungen funktioniert, Cloudbenutzer in die Kalenderinfos von On-Premise Benutzern schauen können und vieles mehr. Für ein Hybrid Szenario ist neben ADFS Servern auch ein Directory Sync nötig. Das Directory Sync Tool ist seit letztem Jahr auch in einer 64bit Variante verfügbar und synchronisiert alle drei Stunden Änderungen im lokalen AD in die Cloud, auf Wunsch auch öfters durch den entsprechenden manuellen PowerShell Befehl. Durch die 64bit Version ist es nun möglich, das Tool auch auf einem Windows Server 2008 R2 laufen zu lassen. Sobald eine hybride Umgebung eingerichtet ist, wird zwischen Cloud und On-Premise Umgebung über Service Accounts die Verzeichnissynchronisierung eingerichtet. Sehr häufig wird hier ein Cloud-Admin Account verwendet (Beispiel: admin@contoso.onmicrosoft.com). Was hierbei beachtet werden sollte, dass auch für diese Accounts die Kennwortpolicy gilt. Auffallen tut das meistens nach >90 Tagen - wenn nämlich plötzlich z.B. das Dirsync nicht mehr funktioniert. Eine Möglichkeit, so eine Situation zu lösen, wäre, das Kennwort dieses Serviceaccounts auf never-expire zu setzen. Diese Lösung habe ich vor kurzem bei einem hybriden Deployment eingesetzt, wo das Kennwort des Serviceaccounts in der Cloud abgelaufen war. Zuerst habe ich das Kennwort dieses Accounts auf never-expire gesetzt und danach das bisherige Kennwort neu gesetzt. Mit dieser Lösung muss nicht überall ein Kennwort neu eingegeben werden. Ein bisschen PowerShell machts möglich. Zunächst benötigen Sie die PowerShell aus dem Microsoft Online Services Modul. Nun verbinden Sie sich: Connect-MsolService Dann die Credentials eines Administrators angeben. Wir wollen dieses Mal nur das Kennwort eines Benutzers (des Serviceaccounts) neu setzen und die Richtlinie zum Kennwortwechsel für dieses Account deaktivieren. Alle hybriden User befolgen ja die on-Premise Kennwortrichtlinie. Zunächst rufen wir einmal die aktuellen Daten mit folgendem Befehl ab: Get-MsolUser -UserPrincipalName admin@contoso.onmicrosoft.com |fl Nun wird für diesen einen Benutzer das Kennwort auf never-expire gesetzt. Set-MsolUser -UserPrincipalName admin@contoso.onmicrosoft.com -PasswordNeverExpires $true Kontrolle mit Get-MsolUser -UserPrincipalName admin@contoso.onmicrosoft.com |fl zeigt nun, dass das Kennwort für dieses Service Account nicht mehr abläuft. Fein, das Kennwort läuft nun nicht mehr ab, allerdings ist das ja leider schon geschehen. Dies lösen wir, indem wir das bisherige, sichere Kennwort noch einmal neu setzen. Set-MsolUserPassword -UserPrincipalName admin@contoso.onmicrosoft.com -NewPassword "MeinSuperPW12$" -ForceChangePassword $false Mit dieser Lösung beginnt die Directory Synchronisation wieder zu synchronisieren.

Neuigkeiten rund um Office 365 im März und April 2012

Gute Neuigkeiten gibt es rund um SharePoint Online Services: sowohl die Speichergrenze pro Abonnement als auch der Preis für zusätzlichen Speicher haben sich geändert. Bisher konnte jedes SharePoint Online Abonnement bis zu 5TB groß werden, diese grenze wurde nun auf 25TB ausgeweitet. Bisher oft bemängelte Speichergrenzwerte sind damit kein großes Thema mehr. Gleichzeitig wurde der preis für zusätzlichen Speicherplatz von SharePoint Online um 92% (!!) gesenkt, von 2,13 € / GB auf 0,17 € / GB. Auch für Exchange Online gibt es ein Update. So konnten sich manche mobilen Devices bei einem Mailserverwechsel nicht mehr verbinden und der neue Mailserver musste manuell eingetragen werden. Microsoft hat dazu nun eine Übergangslösung implementiert, die dieses Problem beheben sollte. Im März wurde auch die angekündigte Kiosk User Erweiterung durchgeführt: neue Kiosk User erhalten nun 1GB Mailboxen und können Smartphones (Tablets sind ausgenommen) mittels Exchange Active Sync anbinden. Alle bestehenden Accounts werden automatisch umgestellt.

Wie Sie eine Benutzerspezifische Signatur in Exchange Online einrichten können

In Exchange Online stehen ja auch verschiedene Regeln zur Verfügung. Diese können auch dazu eingesetzt werden, benutzerspezifische Signaturen zu verwenden. Dies wird gerne eingesetzt, wenn ein Unternehmen eine einheitliche Signatur für alle Benutzer des Unternehmens verwenden möchte. Beispiel: Bei jeder E-Mail, die an eine externe E-Mail Adresse versendet wird, soll die Signatur sowohl die Daten des Absenders als auch einen Disclaimer Text enthalten. Wird diese E-Mail an einen internen Empfänger versendet, soll die Signatur nur die internen Daten enthalten. Externe Signatur: Martina Grom mg@cloudexperts.at Tel: 01 234 567 890 website: www.cloudexperts.at Disclaimer Text Interne Signatur: Martina Grom mg@cloudexperts.at DW: -20 Für die Einrichtung verwende ich hier eine Regel. Diese finden Sie unter den Exchange Administratoroptionen, Menüpunkt E-Mail Steuerelement / Regeln. Über "Neu" wird eine neue Regel erstellt. Diese Regel soll für jeden Absender Ihrer Organisation gelten. Bei der Option "Gehen Sie folgendermaßen vor..." wählen Sie die Option "Haftungsausschluss an die Nachricht anfügen...". Bei weiteren Optionen legen Sie folgendes fest: "Außer wenn....Empfänger ist im Bereich von...Innerhalb der Organisation". Danach geben Sie der Regel noch einen Namen. Im nächsten Schritt legen Sie Ihren Text fest. Dies finden Sie in diesem Dialogfeld auf der rechten Seite unter Text eingeben. In diesem Feld können Sie ganz bequem auch Platzhalter und HTML eingeben. Damit haben Sie auch die Möglichkeit, ein Bild, welches in Ihrer Signatur enthalten sein soll, anzuhängen. %%DisplayName%%<br /> %%FirstName%% %%LastName%%<br /> %%Email%%<br /> %%Company%%<br /><br /> website <a href=""http://cloudexperts.at">Cloudexperts Website</a><br /> Bild: <a href="http://mvp.support.microsoft.com/profile=471BD3C9-CB95-4463-A761-B3CA501B39EF" target="_blank"><img src="http://www.mydomain.at/layout/pics/MVP_Logo.jpg" width="109" height="50" alt="MVP Logo Martina Grom" border="0" style="border: 0px none; margin: 0px 10px 10px 0px;" align="left"/></a><br /> disclaimer text<br /> Damit ist die Regel für den externen Versand erstellt. Der Empfänger sieht dann folgendes: Diese Signatur können Sie beliebig in HTML formatieren! Für die interne Signatur gehen Sie dann genauso vor, nur dass Sie hier die Ausnahme auf "Außerhalb der Organisation" legen. Die möglichen verwendbaren Platzhalter sind (Quelle). DisplayName FirstName Initials LastName Office PhoneNumber OtherPhoneNumber Email Street POBox City State ZipCode Country UserLogonName HomePhoneNumber OtherHomePhoneNumber PagerNumber MobileNumber FaxNumber OtherFaxNumber Notes Title Department Company Manager CustomAttribute1 - CutomAttribute15 Hoffe, diese Anleitung hilft!

Windows Intune V3 ist verfügbar

Ganz frisch verfügbar ist seit heute die Windows Intune V3 und ich habe gleich einmal einen Blick in diese Beta geworfen. Gleich auffallend ist dabei, dass Windows Intune nun im von Office 365 gewohnten Portal Look & Feel erscheint. Windows Intune bietet PC Verwaltung, Schutz vor Malware und Viren und Windows-Upgradelizenzen (immer das aktuellste Windows in der Enterprise Variante!). Die Verwaltung erfolgt dabei über die Cloud - im Browser sehen Sie einen Überblick über Ihre Client Infrastruktur, können Updates einspielen (auch Roll-outs) und haben damit Ihre Clients im Überblick. Was ist neu in V3? Hier gibt es nun ein mobile Device Management, Sie können hier Sicherheitsrichtlinien für Ihre mobilen Endgeräte festlegen. Alle Exchange active sync fähigen mobilen Devices werden unterstützt. Neu ist auch das People Centric Management, womit Sie nun Benutzerkonten verwalten können (Windows Azure Active Directory). Ein Company Portal stellt Mitarbeitern Tools und Apps zur Verfügung. Die Testaccounts sind limitiert, deshalb rasch anmelden! Ich habe mich gleich einmal angemeldet und kurz in meinem Testaccount umgeschaut. Als erstes fällt auf, dass das Administrationsportal nun im Office 365 Look & Feel erscheint. Die Benutzerverwaltung gleicht der von Office 365. Steigt man in die Admin Console um, erscheint das gewohnte Windows Intune Interface. Das Company Portal erscheint im Metro Look: Melden Sie sich gleich an, ich werde in den folgenden Tagen mehr über die Details berichten, jetzt muss ich erst mal den Intune Client installieren! Was es neues gibt, finden Sie auch hier übersichtlich zusammen gefasst.

Hop count exceeded - possible mail loop in Office 365 beheben

Hier ein Tipp für alle IT-Administratoren, die in Office 365 plötzlich (obwohl garantiert niemand irgendwas getan hat) keine Nachrichten mehr empfangen können und der Absender einen NDR (non delivery report = Unzustellbarkeitsbericht) erhält. Sollte der Absender einen NDR bekommen, in dem sinngemäß folgendes drin steht: Die folgende Organisation hat Ihre Nachricht zurückgewiesen: CH1EHSMHS012.bigfish.com. Diagnoseinformationen für Administratoren: Generierender Server: bigfish.com martina.grom@meinedomain.at CH1EHSMHS012.bigfish.com #<CH1EHSMHS012.bigfish.com #5.4.6 smtp;554 5.4.6 Hop count exceeded - possible mail loop> #SMTP# …dann könnte das an einem doppelten Eintrag in FOPE liegen! Um dies zu “reparieren” benötigen Sie nicht unbedingt einen Supportcall bei Microsoft sondern können dies über PowerShell selbst lösen. Zunächst einmal können Sie direkt über Ihre Office 365 Verwaltungskonsole (sofern Sie einen E-Plan haben) auf Ihr FOPE Portal zugreifen. Hierzu klicken Sie in der Exchange Verwaltung auf E-Mail Steuerelement und dort dann auf Forefront Online Protection. In der FOPE Administration finden Sie dann eventuell einen duplicateentry bei den eingetragenen Domänen. Sollte dies der Fall sein, können Sie mit ein bisschen Powershell den Eintrag selbst aktualisieren. Hier - wie immer - alle Befehle, die Sie eingeben müssen: $LiveCred = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection Import-PSSession $Session –AllowClobber Set-AcceptedDomain -Identity mydomain.at -OutboundOnly $true Set-AcceptedDomain -Identity mydomain.at -OutboundOnly $false Dann etwa 1 Stunde warten und danach die Einträge in FOPE kontrollieren. Der duplicate entry sollte verschwunden und der korrekte Eintrag sichtbar sein. Und E-Mails können wieder empfangen werden!

Microsoft Office 365 in kleinen Unternehmen von Martina Grom, MVP Office 365

Seit Mitte April ist das brandneue Buch "Microsoft Office 365 in kleinen Unternehmen" von Microsoft Press erhältlich! Das Buch wurde von unserer Geschäftsführerin, Martina Grom, MVP für Office 365, geschrieben und beschreibt in einfachen, verständlichen Schritten, wie Sie mit Ihrem Unternehmen in die Microsoft Cloud einsteigen!

Office 365 Transition Einmaleins

Kunden, die bereits BPOS (Business Productivity Online Suite) im Einsatz hatten werden seit einigen Monaten von Microsoft auf Office 365 umgestellt. Diese Transition wirft immer wieder Fragen auf, deshalb beschreibe ich an dieser Stelle, was getan wird und was genau aus Kunden- oder Partnersicht bei der Umstellung getan werden soll und beachtet werden muss. Zunächst einmal: niemand muss sich vor der Transition fürchten! Die Planung von Microsoft ist gut, die Benachrichtigungen aus meiner Sicht ausreichend. Die Migration läuft bei allen extrem reibungslos ab, viele Benutzer können es gar nicht erwarten, dass alles umgestellt ist, andere wollen gar nicht migrieren, weil sie mit BPOS bereits extrem zufrieden sind. Bei keinem Einzigen der von mir begleiteten Transitionen kam es zu einem Datenverlust oder sonstigem. Ganz klar muss man sagen, dass Microsoft hier einen sehr sehr guten Job macht - jeder, der schon mal "was auch immer" migriert hat, weiß das. Die Benachrichtigungen Die erste Mail erinnert zunächst einmal an notwendige Vorbereitungsschritte und gibt Auskunft über eine nach diesem Datum stattfindende Transition. Zwischen dieser E-Mail und der tatsächlichen Durchführung liegt genug Zeit - rund 4-6 Wochen, bis es dann tatsächlich soweit ist. In der darauf folgenden zweiten Benachrichtigung erhalten Sie die Info zum tatsächlichen Übergangsdatum. Die dritte Mail sagt Ihnen, dass der Übergang begonnen hat, in der vierten Nachricht erhalten Sie dann die Info, dass der Übergang durchgeführt wurde. Diese Benachrichtigungen erhält der Rechnungsadministrator und auch jede andere als Administrator eingetragene Person. Der Partner of Record erhält diese Infos übrigens ebenfalls und kann beim Übergang unterstützen. Zeitplan für die Vorbereitung und nötige ToDo's Microsoft stellt hier eine sehr detaillierte Liste der nötigen Tätigkeiten zur Verfügung, wo Sie alles durchlesen können. Die drei wichtigsten Punkte für eine reibungslose Umstellung sind: Alle Benutzer müssen einmalig Ihr BPOS-Kennwort ändern, damit ist es diesem User dann möglich, sich gleich im Office 365 Portal anzumelden (freilich noch ohne Mailbox). Auf den Clientcomputern wird einmal das Office 365 Desktop-Setup durchgeführt. Dieses finden Sie im Office 365 Portal unter Downloads. Im DNS der jeweiligen Domain muss ein autodiscover-Eintrag gesetzt werden, damit ist sichergestellt, dass sich Outlook 2007 und Outlook 2010 korrekt zum neuen Mailserver verbinden können. Hinweis an alle DNS Experten: es ist kein weiterer Eintrag als TXT oder MX Eintrag nötig - das Routing nach dem Übergang wird von FOPE durchgeführt. Der autodiscover Eintrag: autodiscover CNAME autodiscover.outlook.com Nicht extra als wichtig gelistet, aber trotzdem: Outlook 2003 wird nur mehr als POP3 / IMAP Client unterstützt, es wäre hier also jetzt eine wirklich sehr gute Gelegenheit, dem mittlerweile 10 Jahre alten E-Mail Client Lebewohl zu sagen und auf Outlook 2010 umzusteigen. Die Punkte 1 und 2 können Sie jederzeit nach der ersten Benachrichtigung erledigen. Den Punkt drei würde ich so spät als möglich erledigen, d.h. am besten am Mittwoch VOR dem definierten Übergangsdatum. Zeitplan der Transition Am Tag des Beginns des Übergangs erhalten Sie die Nachricht, dass der Übergang begonnen hat. Zu diesem Zeitpunkt wird das BPOS Admin Portal gesperrt, Sie können keine Kennwortänderungen mehr durchführen. Dies ist typischerweise am Donnerstag späterer Nachmittag (etwa zwischen 16:00 und 20:00 Uhr). Alle Benutzer können in dieser Zeit ganz normal weiter arbeiten. Der Datenmove beginnt Freitags, am späteren Nachmittag / frühen Abend. SharePoint Portale sind in dieser Zeit Read Only. Je nachdem, wie lange der Mailbox Move und die Umstellung der SharePoint Portale dauert, erhalten Sie zwischen Samstag Mittag und Sonntag Mittag die Benachrichtigung, dass der Übergang abgeschlossen ist. Ab diesem Zeitpunkt können sich alle Benutzer direkt am Office 365 Portal anmelden und dort in die Outlook Web App einsteigen. Outlook hat sich neu konfiguriert, Sie müssen hier einmal Ihre Anmeldedaten eingeben und diese speichern. Nach der Transition Gehen Sie hierzu noch einmal die Prüfliste für Administratoren durch. Mobile Devices müssen nach der Transition neu mit dem Server verbunden werden. Hierzu ist es ausreichend, den Servernamen Ihres konfigurierten Exchange Kontos auf m.outlook.com zu ändern. Das Device findet damit den korrekten Servernamen und trägt diesen ein. Sollte dies nicht der Fall sein, hilft folgender Workaround: Bei Outlook Web App anmelden und hier auf Optionen / alle Optionen klicken. Hinter dem Link zu POP3 Einstellungen finden Sie den Servernamen, der als Exchange Active Sync Endpoint fungiert. Sollte Ihr mobiles Device hartnäckig sein und sich immer noch nicht verbinden, probieren Sie bitte folgendes aus. Kehren Sie zurück zur Outlook Web App Startseite. Klicken Sie dort auf das Fragezeichen und dort auf Info. Im darauf folgenden Fenster sehen Sie in der Zeile Hostname, welchen Server Sie eintragen können. Blackberry Services sind ja bei Office 365 nun durch RIM selbst verwaltet und erfreulicherweise auch in der BES Version kostenlos (bis auf die Carriergebühren). Nach der Transition von BPOS auf Office 365 müssen Sie die Blackberry Geräte neu für BES einrichten, wie, können Sie hier nachlesen. Die SendAs Permissions und Dirctory Sync muss neu gesetzt werden, eine gute Gelegenheit auf Dirsync 64 bit umzusteigen. Tipps und Tricks rund um die Transition Hier das aus meiner Sicht am häufigsten auftretende Problem rund um die Transition: Vergessen Sie nicht, auch das Kennwort des BPOS Administrators zu ändern! dieser hat das Login admin@mydomain.emea.microsoftonline.com. Sollten Sie es dennoch vergessen haben gibt es zwei Lösungen: Falls ein delegierter Administrator bei Ihrem Konto hinterlegt ist, kann dieser die Kennwörter ändern. Falls das nicht so ist, müssen Sie einen Service Request öffnen, das Kennwort wird dann von Microsoft zurück gesetzt. Das kann etwas dauern, bis das erledigt ist. Wo ist mein SharePoint? Ihre SharePoint Daten werden ebenfalls mitmigriert, jedoch nicht automatisch in die neue Teamsite. Aus diesem Grund kann schnell einmal etwas Verwirrung entstehen. Ihre neuen SharePoint URLs finden Sie in der SharePoint Websitesammlungsverwaltung. Look & Feel ist nach wie vor SharePoint 2007. Führen Sie am Besten gleich ein visuelles Upgrade durch. Dieses finden Sie direkt auf der SharePoint Site unter den Websiteeinstellungen. Zusammenfassung Kennwortänderung (auch vom Administratoraccount) autodiscover Eintrag setzen Mobile Geräte auf neuen Servernamen verbinden Am Montag Zeit haben Viel Erfolg bei der Transition! Sollten Sie Fragen haben, bitte einfach ein Kommentar hinterlassen!

Hop count exceeded-how to resolve a possible mail loop in Office 365

In this blogpost I will describe a solution for IT Administrators with the following situation: You are unable to receive E-Mails in your Office 365 account, senders receive a NDR (non delivery report). The NDR says: The following organization rejected your message: CH1EHSMHS012.bigfish.com. Diagnostic information for administrators: Generating server: bigfish.com martina.grom@mydomain.com CH1EHSMHS012.bigfish.com #<CH1EHSMHS012.bigfish.com #5.4.6 smtp;554 5.4.6 Hop count exceeded - possible mail loop> #SMTP# …this can be caused by a duplicate entry in FOPE! To get this situation resolved you don’t need a support call with Microsoft. You can solve it with a little PowerShell magic. First take a look in your Exchange Online Management Board where you can access the FOPE portal (if you are on an E-Plan) . Simply click on Exchange Online / Mail control / Forefront Online Protection for Exchange. Check if you see a duplicate entry within the Domain section in FOPE! If that’s the case you can set the entry with PowerShell. As I am aware that PowerShell is not everyone's most loved tool, here are all commands you have to run within PowerShell, so you can make your life easier with simply copy & paste from here. $LiveCred = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection Import-PSSession $Session –AllowClobber Set-AcceptedDomain -Identity mydomain.at -OutboundOnly $true Set-AcceptedDomain -Identity mydomain.at -OutboundOnly $false After that, wait for approximately one hour. Check your FOPE entries. All should be set to normal and mail-flow starts working again! Attention: use this only if you are in the above mail loop situation. Hope that helps! Martina Grom, MVP Office 365. Follow me on Twitter

Einladung zum Exchange User Group Meeting am 30. März 2012

Das nächste Exchange User Group Meeting findet wieder am 30. März 2012 ab 18:30 Uhr bei Microsoft Österreich statt. Wie bereits beim letzten Mal werden wir virtuell nach Unterschleißheim zugeschalten. Die Agenda: 18:30 Uhr Begrüßung/Networking 18:45 Uhr iPad & Co sicher managen mit Microsoft Exchange 2010 mit Thorsten Hesse 20:15 Uhr Networking 20:30 Uhr Prof. Bräutigam spricht über "Recht in der Cloud" 21:30 Uhr Networking 22:00 Uhr Abschlußbesprechung, Termine nächste Meetings Gerade das mobile Device Management ist immer wieder ein Thema in Unternehmen, ich bin sehr gespannt auf die Tipps von Thorsten Hesse. Recht in der Cloud: wer will es nicht immer wieder hören? Bitte um Anmeldung hier: http://www.microsoft.com/click/services/Redirect2.ashx?CR_EAC=300039868  Wir freuen uns schon sehr auf unser Usergrouptreffen!