Stichwort Suche

Autor: alpina27

Sophos UTM Root partition is filling up

Die root Partition kann u.a. voll laufen, wenn zuviele Update Packete heruntergeladen wurden.

Lösung dazu: Up2Date Firmware auf manuell umstellen > Einige Update Dateien entfernen > Update Dateien initialisieren lassen > über Webinterface die vorhandenen Updates installieren > Up2Date Firmware Download manuell starten

 

1) Putty auf UTM mit loginuser

2) In Verzeichnis /var/up2date/sys wechseln, darin befinden sich die einzelnen Up2Date Dateien

3) Mit du -shx * d kann man sich die Dateigröße anzeigen lassen

4) Mit ” rm u2d-sys-….. ” die letzten Up2Date Downloads entfernen

5) root Partition Speicher überprüfen mit “df -h”

6) noch vorhanden Up2Date Dateien einlesen, damit diese im Webinterface sichtbar werden “auisys.plx -showdesc

Im Up2Date Log kann man dies verfolgen

2019:03:15-11:18:01 fwwvd01 audld[4940]: Starting Up2Date Package Downloader
2019:03:15-11:18:03 fwwvd01 audld[4940]: patch up2date possible
7) Updates installieren

 

 

AzureAD Immutable ID to HEX + GUID to ImmutableID

GUID to ImmutableID

https://gallery.technet.microsoft.com/scriptcenter/Convert-between-Immutable-e1e96aa9

 

Immutable ID to HEX (mS-DS-ConsistencyGuid)

1) ImmutableID auslesen

Get-MsolUser -UserPrincipalName john@cesarhara.com | select ImmutableID ImmutableID: kKfL2wwI+0W+rN0kfeaboA==

2) ImmutableID konvertieren

[system.convert]::FromBase64String(“kKfL2wwI+0W+rN0kfeaboA==”) | %{$a += [System.String]::Format(“{0:X}”, $_) + ” “};$result = $null;$result = $a.trimend();$result

Microsoft Intune und Apple DEP Teil 1

Microsoft Intune und das Apple DEP Programm bilden zusammen eine wunderbare Mobile Device Management Lösung. Leider gibt es aktuell keine leicht verständliche Erklärung zu dem Aufbau und Abhängigkeiten der beiden Systeme. Somit ist es für neuankömmlinge relativ schwer zu verstehen. Um etwas Licht ins Dunkle zu bringen habe ich mir gedacht, ich schreibe mal einen Blogeintrag mit den wichtigsten Basics dazu.

 

Um Intune in vollenzügen ausreizen zu können werden ein Intune oder Microsoft 365 Abonnement, sowie Apple DEP, Apple VPP, Apple Push Zertifikat und eine Apple Unternehmens ID benötigt. Zudem können weitere Features wie Conditional Access, Company Portal App und der Apple Supervisor Mode genutzt werden.

Ganz schön viele Begriffe wird man nun denken – dazu ersteinmal ein kurzer Abriss.

 

Intune / Microsoft 365 Abonnement

Das reine Intune Abonnement ist untergliedert in Intune, Intune Enterprise Mobility + Security E3 und Intune Enterprise Mobility + Security E5.

 

Microsoft 365 ist ein All-in-One-Paket, das die Office 365-Suite, Windows 10 Pro und Enterprise Mobility+Security beinhaltet.

Dies darf nicht mit Office 365 verwechselt werden.

Office 365 ist Eine Cloud Services-Plattform, die vertraute Microsoft-Produkte wie Word, Excel, PowerPoint und OneDrive zusammen mit anderen Produktivitätsdiensten über einen Abonnementplan zur Verfügung stellt. Office365 enthält zwar ein Mobile Device Management, das ist jedoch etwas abgespeckter als Intune. Intune muss also dazu abonniert werden.

 

Apple Unternehmens ID

Die Apple Unternehmens ID ist ein Konto, dass benötigt wird um die Apple Bereitstellungsprogamme Apple DEP und Apple VPP nutzen zu können. Das ganze befindet sich aktuell im umbruch und wird in Zukunft wohl Apple Business Manager heißen. Jedoch wird in den Docs und Intune Einstellungen noch die Bezeichung Apple Unternehmens ID genutzt.

Die ID kann über die Apple Seite beantragt werden. Dazu wird u.a. eine  DUNS-Nummer benötigt.

 

Apple DEP

Das Apple Device Enrollement Programm bietet die Möglichkeit iOS-Geräte im Unternehmen schnell und sicher bereitstellen. Die iOS-Geräte müssen über einen autorisierten Apple Partner bezogen werden und können von diesem dann mit einer Apple DEP ID, dass mit der Apple Unternehmes ID verknüpft ist hinterlegt werden. In dem Apple DEP Konto, können für die jeweiligen iOS-Geräte MDM Server hinterlegt werden. So verbindet sich das Gerät nach dem ersten einschalten, automatisch und direkt mit dem MDM Service (Intune) und erhält seine Konfigurationen.

 

Apple Supervisor Mode

Der überwachte Modues erlaubt weitere Konfigurationseinstellungen am Gerät vorzunehmen. Der Modus kann nur genutzt werden, wenn das Gerät über Apple DEP eingerichtet wurde.

 

Apple VPP

Ohne Apple ID funktioniert bei einem iOS-Gerät nicht viel. Die Einrichtung des Gerätes ist nicht möglich und Apps können auch nicht installiert werden. Damit nun nicht jeder Mitarbeiter eine Apple ID erstellen muss ist es empfehlenswert das Apple VPP Programm zu nutzen. Das Apple Volume Purchase Program ermöglicht es Unternehmen, Apps zu kaufen und an ihre Benutzer zu verteilen.

Ebenso brauch der Mitarbeiter keine private Apple ID um das Gerät einzurichten.

Nach erfolgreicher VPP Registrierung, kann das Apple VPP Konto mithilfe eines VPP-Token mit Intune verknüpft werden.

 

Apple Push Zertifikat

Um Konfigurationsprofile von Intune direkt an das iOS-Gerät pushen zu können wird ein Apple Push Zertifikat benötigt. Dieses wird dann mit dem Intune Konto verknüpft.

 

Company Portal App

Die Company Portal App (Unternehmens Portal App) ist nach der Geräte Einrichtung der Dreh und Angelpunkt zwischen dem iOS-Gerät und Intune. Die App kann direkt nach der Geräte Einrichtung automatisch gepushed werden. Über diese App können die Mitarbeiter Apps, welche von dem Unternehmen über Apple VPP bereitgestellt werden, in dem Unternehmenseigenen App Store herunterladen und installieren. Somit wird keine eigenen Apple ID benötigt. Handelt es sich um kostenpflichtige Apps, werden diese vorab über Apple VPP gekauft.

 

Conditional Access

Von Haus aus können in Intune zwar Geräte Compliance-Richtlinie erstellt werden – z.B. Prüfung auf Betriebssystemversion, oder ggf. auf Jailbreaks, aber dies hat keine Auswirkungen auf den Zugriff auf Intune und Unternehmensressourcen. Es wird lediglich in der Verwaltungskonsole als Ereignis dargestellt, dass das Gerät nicht mehr den Compliance Richtlinien entspricht.

Erst mit Conditional Access ist es möglich z.B. Geräte mit Jailbreak den Zugriff auf Intune und Unternehmensressourcen zu sperren.

Der bedingte Zugriff ist eine Erweiterung für das Intune Abonnement. Dafür wird der Azure Active Directory Plan 1 oder 2 benötigt.

Conditional Access ermöglicht es u.a. Multifaktor Authentifizierung, Regelbasierte Richtlinie und Bedingungen zu erstellen und Idenditäten zu prüfen.

 

 

In Teil 2 zeige ich euch die Einrichtung eines iOS-Gerät mit DEP und erkläre noch die besonderheiten bei bereits eingerichteten Geräte und die alternative des Self Enrollements und erläutere die Funktion des Apple Configurator.

Cloudflare und Strato Webspace

Cloudflare bietet einen umfassenden Schutz für die eigene Homepage. Es gibt kostenlose Pakete, die z.B. für einen eigenen Blog durchaus ausreichend sind.

Dazu zählen u.a.:

  • DDoS-Schutz

  • Web Application Firewall

  • Reverse-Proxy

  • Content Delivery Network

Der Mechanismus dieser Dienste greift vor dem eigentlichen Zugriff auf die jeweilige Homepage. Um dies zu erreichen muss die Domain so angepasst, das die DNS Server von Cloudflare genutzt werden. So wird erreicht, dass vor Website zugriff zuerst die Cloudflare Dienste angesprochen werden und anschließen man auf die eigentliche Homepage umgeleitet wird.

Dies funktioniert mit einem Strato Webspace leider nicht. Grund dafür ist, das die Homepage keine feste IP Adresse besitzt, sondern eine dynamische die sich täglich ändert. Cloudflare benötigt jedoch für die DNS A-Records eine feste IP Adresse und kann mit dynamischen IP Adressen nicht umgehen.

 

Auszug von Strato FAQ

Kann ich eine feste IP-Adresse bekommen?

Die technische Plattform von STRATO verwendet die beim Webhosting für viele Millionen Kunden übliche Methode des IP-Sharings und der Lastverteilung. Unsere Kunden profitieren dadurch von dem Umstand, dass Anfragen an ihre Webpräsenz an unseren gesamten Gerätepark so verteilt werden, dass immer der gerade “schnellste” Rechner die Anfrage beantwortet.
Durch diese Architektur ist es im Shared Webhosting nicht möglich, einem Kunden eine einzelne IP-Adresse zur Verfügung zu stellen.

Möchten Sie Dienste unter einer festen IP Adresse anbieten, können Sie einen Dedizierten Server bestellen. In vielen Paketen stehen Ihnen sogar zwei kostenlose IP-Adresse zur Verfügung. Bitte informieren Sie sich über die STRATO Server auf unserer  Homepage.

Willkommen Exchange 2019 – installiert – migriert – getestet

Da ist er, der Exchange 2019. Ich habe ihn mal in meiner Umgebung Zuhause installiert und getestet 🙂

 

Vorraussetzungen:

Exchange 2019, was brauchs zum laufen? Kurzfassung, wer die letzten Jahre fleißig geupdate hat, hat kaum Probleme, alle Exchange 2010 Betreiber müssen ein bisschen was nachholen.

 

  • Betriebssystem

Man beachte die Hinweise/Empfehlungen 🙂

  • Active Directory

  • Exchange Coexistenz

  • Clients

Installation:

Install-WindowsFeature Server-Media-Foundation, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

  • Active Directory: Schema und Domänen vorbereiten

 

Da Windows Server 2019 zum aktuellen Zeitpunkt nicht mehr zum Download bereit stand, habe ich probiertExchange 2019 einfach mal auf Windows Server 2016 zu installieren.
Jedoch weigerte sich das Setup dagegen..

Zum Glück konnte ich einen Kollegen finden, der Server 2019 vor dem rückzieher von Microsoft schon heruntergeladen hatte 🙂

Also erstmal noch fix eine Windows Server 2019 VM erstellt – es hat sich zu Server 2016 nicht wirklich viel verändert – nur booten tut Server 2019 extrem schnell!

 

Danach weiter mit dem Exchange 2019 Setup:

Die weiteren Steps unterscheiden sich nicht zu den vorherigen Versionen.

 

 

Ich habe auf meinem Exchange 2013 vorher Organisationsweit “MapiHttp” deaktiviert um einmal zu schauen, was bei dem Setup von Exchange 2019 passiert. Anderst als Exchange 2013 und Exchange 2016 unterstüzt Exchange 2019 keine Outlook Anywhere (RPC/HTTP), sondern nur noch MAPI/HTTP.

Und siehe da, das Setup prüft dies ab und gibt. ggf. eine Warnung aus. Also vorher noch aktivieren 😉

 

Test:

  • Anpassungen Exchange 2019

Die Anpassungen der virtuellen Verzeichnisse etc. hat ohne Probleme funktioniert. Lediglich der Exchange Server hat etwas Performance Probleme gehabt. Ich habe die VM in meiner Demo Umgebung mit 2vCPU und 6GB am laufen gehabt. Das reicht dem Exchange 2013 ohne Probleme aus. Dem Server 2019 mit Exchange 2019 ist dies auf jedenfall zu wenig, also habe ich mal auf 8GB RAM erhöht mal schauen, ob das für eine minimal Umgebung reicht 😉

  • Zugriffe

Zuerst habe ich einmal die Anbindung von intern und extern  (reverse proxy Sophos UTM) von dem Exchange 2013 auf den Exchange 2019 angepasst.

Die Zugriffe von intern und extern mit Outlook und einem iOS Gerät auf das Postfach auf dem Exchange 2013 haben ohne Probleme funktioniert.

  • Postfach Move Nummer 1

Der erste Postfach Move war etwas holprig. Mein Postfach hat sich bis 95% Problemlos gesynct, stand danach jedoch auf einem Fehler.

 

 

Es war jedoch nichts schlimmes ersichtlich:

 

 

 

Scheinbar wurde der Job wirklich wegen dem Fehler nicht ausgeführt:

 

Ich musste den Move dann manuell abschließen:

 

 

  • Postfach Move Nummer 2

Den gleichen Fehler wie bei Move Nummer 1.

 Email migration failed for this user because the subscription was suspended externally to the Migration Service

Sehr komisch.

 

  • Postfach auf Exchange 2019

Die ersten Tests haben soweit alle funktioniert. Alles weitere wird sich die nächsten Tage zeigen 🙂

Was auf jedenfall schon einmal positiv auffällt ist die verbesserte Suchfunktion – die Suche ist wirklich richtig schnell und genau.

Falls sich etwas negatives ergibt, werde ich ein kurzes Update posten.

 

 

WAP to ADFS with Kemp Loadbalancer no connection – TCP syn checking failed

Eine Verbindung von einem WAP Server (DMZ) zu einem ADFS Server ist nicht möglich. Der WAP und der ADFS Server befindeen sich hinter einem Two-Arm Kemp Loadbalancer.

Die direkte Verbindung von dem WAP zu dem ADFS ohne Kemp Loadbalancer dazwischen funktioniert.

Im Firewall Log der Watchguard zwischen DMZ und LAN ist folgende Meldung sichtbar.

“TCP syn checking failed (expecting SYN packt for new TCP connection, but received ACK, FIN, or RST instead).

Der TCP Flag der Watchguard ist Fehlerhaft, daher dropt die Watchguard das Packet zu dem Kemp.

Die Lösung mithilfe des Kemp-Support ist folgende:

In dein Einstellungen die Option: Use Default Route Only setzen

 

 

Find Active Directory Schema Update History

$schema = Get-ADObject -SearchBase ((Get-ADRootDSE).schemaNamingContext) `
-SearchScope OneLevel -Filter * -Property objectClass, name, whenChanged,`
whenCreated | Select-Object objectClass, name, whenCreated, whenChanged, `
@{name=”event”;expression={($_.whenCreated).Date.ToShortDateString()}} | `
Sort-Object whenCreated

$schema | Format-Table objectClass, name, whenCreated, whenChanged `
-GroupBy event -AutoSize

$schema | Group-Object event | Format-Table Count, Name, Group –AutoSize

Bulk Set-ACL only with security groups – ACL Cross Forest

1) Sicherheitsgruppen anlegen und in der Beschreibung den physikalischen Pfad hinterlegen. Die Beschreibung wird genutzt um das Ziel für die jeweilige Gruppe zu finden.

 

2) Script anpassen –

Organisationseinheit in dem sich die Sicherheitsgruppen befinden ergänzen

Wenn benötigt zusätzliche Globale Gruppen ergänzen

$Permissions = Get-ADGroup -filter * -searchbase “OU=Gruppen,OU=JR,DC=rehberger,DC=local” -searchscope onelevel -Properties * | select description,name
#$FSAdmin = Get-ADGroup -Identity “Fileserver-Admins” | select name
ForEach ($line in $Permissions)
{
$acl = Get-Acl $line.description
$acl.SetAccessRuleProtection($True,$False)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($line.name,”Modify”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
$acl.AddAccessRule($rule)
#$rule2 = New-Object System.Security.AccessControl.FileSystemAccessRule($FSAdmin.name,”FullControl”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
#$acl.AddAccessRule($rule2)
$rule3 = New-Object System.Security.AccessControl.FileSystemAccessRule(“NT AUTHORITY\SYSTEM”,”FullControl”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
$acl.AddAccessRule($rule3)
Set-Acl $line.description $acl -Verbose
Get-Acl $line.description | select Path,AccessToString | fl
}

3) Ergebnis

 

Um die bereits gesetzen Berechtigungen anzupassen die Variable “$acl.AddAccessRule” auf “$acl.SetAccessRule” abändern.

Active Directory Struktur export/import Cross Forest

Mit  “ldifde.exe” ist es möglich die Organisationseinheiten Struktur in eine .TXT zu sichern.

1) Struktur in Quelle exportieren

ldifde -f c:\temp\OU-Export.ldf -s DomainController01.ad.domain.com -d “dc=ad,dc=domain,dc=com” -p subtree -r “(objectcategory=organizationalUnit)” -l “cn,objectclass,ou”

2) Export Datei mit Notepad anpassen

Domain Controller OU komplett entfernen – ldfifde.exe kann keine Domain Controller OU importieren.

Mit suchen und ersetzen alle “DN” so anpassen, dass diese die neue Domäne beinhalten.

Ggf. schon vorhanden Standard OU´s entfernen

2) Struktur in Ziel importieren

ldifde -i -f “<path>:\ExportOU.ldf” -s  ZielDomainController01

 

 

Nächste Seite »