Monthly archives: november, 2015

Introduktion till Office 365 Video

Office 365 utökas hela tiden med nya funktioner och en av dessa är Office 365 Video som ingår i Enterprise E1/E3 prenumerationerna.

Kort och gott kan man säga att Office 365 Video är som företagets egna YouTubekanal där det är möjligt att ladda upp videos och sedan dela dem. Om en organisation har behov av att använda videofiler så kan det vara ett bekymmer för:

  • De ofta är för stora att maila
  • Man behöver tänka igenom vilket format och vilken upplösning de ska vara i för att alla ska kunna öppna dem
  • Klienterna behöver ofta en videospelare som klarar av dessa format
  • Om filerna ska placeras på ett fileshare så tar de ofta stor plats på disk och backupsystem
  • De kan vara svåra att hitta/söka efter

Office 365 Video är tänkt lösa mycket av detta. Ett exempel är om organisationen har behov av att skicka ut instruktionsvideos, till exempel de jag beskriver i Informera användarna om Skype for Business där videofilerna totalt är närmare 1 GB.

Logga in i Office 365 portalen och välj Video:

Office365-Video1

Välj skapa ny kanal och anpassa den:

Office365-Video2

När kanalen skapats kan du lätt ladda upp videos som då bearbetas:

Office365-Video3

Vy när den bearbetat alla videos:

Office365-Video5

När videon spelas upp är det helt webbaserat vilket det gör lättare för användaren att använda olika enheter, spola fram och tillbaka i videon med mera.

Office365-Video6

Det går att sätta en del anpassningar, däribland behörigheter:

Office365-Video4

Dessa videos kan du sedan publicera i flödet på Sharepoint för att få ut informationen.

Än så länge kan man inte publicera videos externt till anonyma användare men det är den högst önskade funktionen på UserVoice.

Fler exempel finns i Microsoft Office blog.



Backup av Active Directory

Många använder sig utav 3:e partsprodukter som Veeam B&R, Unitreds/PHD Virtual, Backup Exec m.m för att ta backup av sin infrastruktur där flera av dessa har stöd för Application-Aware  / VSS vilket möjliggör backup av domänkontrollanter och Active Directory.

Detta är klockrent när man ska återställa en hel miljö och för att Active Directory ska starta upp korrekt, men vill man bara återställa en GPO eller jämföra inställningar i schemat mellan två förändringar blir det lite omständigt.

Något vi därför rekommenderar våra kunder att utöver VM backup av sina domänkontrollanter, även ha backup och revisionsbackup av följande från minst en DC (per domän).

  • Group Policy Objects
  • DNS
  • DHCP
  • Netlogon
  • Schema
  • Windows System State

Utöver ovan, rekommenderar vi att man har aktiverat Active Directory Recyle Bin i sin miljö för att återställa borttagna AD-objekt.

Detta är för att man inte ska behöva återställa ett helt VM från backup, starta upp utan nätverk, leta upp vad man söker efter och återställa det utan man enbart öppnar katalogen från ett tidigare datum, exempelvis öppnar man sin DNS-backupen i Notepad och direkt kan man jämföra dessa emot produktionsmiljön. Detta går betydligt snabbare och blir avsevärt mycket enklare i felsökning men även återställningssyfte.

Group Policy Objects

Ett enkelt sett att ta backup av Group Policy Objects är att använda sig utav PowerShell för att dels ta backup av alla GPO.er men även en rapport för att få en enkel översikt över vad dem innehåller i HTML-format.

Resultatet blir som följande:

GPO Backup

DNS

För backup av DNS använder vi oss återigen av PowerShell som gör en export av alla DNS zoner som finns upplagda på en DC.

Varje DNS zone hamnar då i en egen text-fil som kan enkelt öppnas och utläsas:

DNS Backup

DHCP

DHCP är något som vi ser är vänligt att man lägger på en domänkontrollant, ibland kan det vara bra och ibland mindre bra. Tidigare har det varit problematiskt om man behöver starta om en domänkontrollant eller om man ska ersätta den men i Windows Server 2012 R2 finns möjligheten till DHCP Failover vilket gör att man kan ha 2st servrar som replikerar DHCP-scopet mellan varandra och båda kan dela ut en IP-adress utan att krocka med varandra. Detta är en klockren funktion som Microsoft levererat för redudans men vad händer om man vill kunna jämföra inställningar mellan olika dagar eller tappat en inställning? Då är det smidigt att ha tagit både en dump och en export av DHCP-scopet som kan läsas ut i textformat.

Skillnanden på en export och en dump är att en export används vid import medan dump kan du enkelt läsa inställningarna:

DHCP Export Dump

Netlogon

Netlogon används ofta för att spara inloggningscript, därför tycker vi det är smidigt att göra en kopia av katalogen för att kunna gå tillbaka om något skript uppdaterats som slutar fungera.

Schema

En av de mest känsliga bitarna i Active Directory är schemat. Schemat behöver vara fungerande för att diverse olika tjänster och produkter ska fungera, t.ex Exchange, Skype m.m.

Det vi har med i vår backup är helt enkelt en export av Configuration, Schema och Default Naming Context via ldifde.

Filerna sparas i .ldf format men kan öppnas med exempelvis Notepad för att läsa ut informationenSchema Backup

Windows System State

Sist men inte minst, Windows System State backup av en domänkontrollant. Detta är något som vi anser är viktigt att ha med som komplement till VM backup av en domänkontrollant.

Backup via ett 3:e partsverktyg innehåller oftast samma sak som en System State Backup och är det Application-Aware är tanken att det även ska använda samma VSS Writers som System State gör. Fördelen med att använda sig utav Windows System State via Windows Server Backup är att det är ett verktyg utvecklat av Microsoft, för Microsoft produkter och man kan få support av Microsoft.

OBS: En System State backup innehåller inte all information från en maskin utan är begräsnad, läs mer här om vad som inkluderas. Vill man inkludera mer går det självklart bra men detta är som sagt ett komplement till 3:e partsbackupen och inte en ersättare. 

Att tänka på

  1. En domänkontrollant ska vara en domänkontrollant och inget annat. Installera alltså INTE andra roller på den så som CA, Print, File etcetera.
  2. Återställ inte en domänkontrollant om miljö fungerar korrekt och inte har några kända problem. Skrota DCn och sätt upp en ny istället – det blir enklare ochman får en nyinstallerad DC.
  3. Säkerställ att man har supporterat backup (från både Microsoft och 3:e partsleverantören)  på plats
  4. Genomför kontinuerliga teståterläsningar och ha tydliga rutiner vid återläsning
  5. Begränsa åtkomst till backupshare. I och med att man läser ut så mycket och det ligger i ”klartext”, säkerställ att man har begränsad åtkoms till sökvägarna och sharen där backupen ligger.


Skype4B Client Tool – verktyg för felsökning

Ibland när det är dags att felsöka Skype for Busines klienten så vill man ofta slå på loggning, resetta profil med mera. För att slippa behöva leta upp varje gång hur detta görs så har en Microsoftanställd tagit fram ett enkelt verktyg för detta som bland annat kan:

  • Slå av/på SkypeUI
  • Slå på Trace Logging
  • Slå på Advanced Logging
  • Resetta profil
  • Tvinga nedladdning av adressboken
  • …och mycket mer.

Skype4BClientTool

Verktyget finns här:
https://gallery.technet.microsoft.com/Skype4BClientTool-576956f7



Enkelt verktyg för att packa upp MSI-paket

Ibland vill man inte installera MSI-paket, utan endast packa upp dem.

Jag använder ofta msiexec för att packa upp filer på följande sätt:

Idag hittade jag ett annat verktyg som gör det enkelt för mig. Inte bara ett bra namn utan väldigt enkelt att använda:
lessmsi (hämta .zip här)

Enkelt och smidigt, fungerar med GUI och CLI:

screenshot-filestab



Outlook 2016 – vad du som Exchange admin behöver veta

Office 2016 släpptes för ett tag sedan och användarna kommer säkert börja fråga efter det. För er som kör Office 365 så har Xenit noterat att funktionen Shared Activation inte alls fungerar i Office 2016 ännu utan Microsoft meddelar att den funktionen släpps i uppdateringen som dyker upp början nästa år.

office2016_logo

Men det finns ett par punkter kring Outlook 2016 för Exchange admins som är värda att känna till och de beskrivs i detalj i Exchange Team bloggen.

  • AutoDiscover måste fungera korrekt. Tidigare har man kunnat gå runt det på olika sätt men numera är det ett krav.
  • MAPI-HTTP används som nytt kommunikationsprotokoll som är mer effektivt över Internet. Mer detaljer finns här.
  • Nätverksförfrågningar i förgrunden har tagits bort. Det innebär alltså att alla nätverksförfrågningar sker i bakgrunden vilket gör att Outlook klienten inte längre ska hänga sig när man sitter på långsamma och opålitliga länkar.
  • Outlook 2016 fungerar inte tillsammans med Exchange 2007.
  • Offline cache kan nu ställas in ända ner till 3 dagar från tidigare 1 månad. Detta går även konfigurera med GPO.
  • Sökning i mailen har förbättrats. Default söks server-side index på Exchangeservern och inte bara det som finns i OST-filen. Detta kräver dock Exchange 2016 eller Office 365.
  • Autentisering har förbättrats. SSO mot Office 365 numera inbyggt och möjlighet till MFA (Multi Factor Authentication) och inget mer Basic Auth.

Det märks att Microsoft vill göra Exchange/Outlook kombinationen enklare och mer användarvänlig  genom att plocka bort gamla funktioner som historiskt sett skapat en hel del problem.



Microsoft Hyper-V CSV ClusterStorage.000

Vi såg nyligen ettproblem i ett Hyper-V kluster där ena noden inte längre kunde starta VM.
Efter felsökning och kollat i loggarna såg vi att ClusterStorage inte var helt korrekt på servern, det fanns både ClusterStorage och ClusterStorage.000.
Det var under C:\ClusterStorage.000\  som CSV sharet Volume 1 låg och i där fanns alla VMs, inte under C:\ClusterStorage som tanken är.
C_ClusterStorage000

Under Cluster Disk var sökvägen inte korrekt:
CSV_ClusterDisk_Incorrect

För att åtgärda detta behövde vi genomföra följande:

  1. Stoppa ”Cluster Service”-tjänsten på Hyper-V-noden
  2. Högerklicka på respektive C:\ClusterStorage.XXX och Properties -> Security > Advanced > Owner > Change > Administrators
  3. Ta bort alla C:\ClusterStorage.XXX och C:\ClusterStorage så det tomt enlig
    LocalDisk_C
  4. Starta om servern (så att alla tjänster startas upp i korrekt ordning)
  5. Säkerställ så C:\ClusterStorage skapas (och inte ClusterStorage.000) och säkerställ att Volume1 finns där:C_ClusterStorage_Volume1_Volume2
  6. Efter rensning såg det normalt ut igen under Cluster Disk:
    CSV_ClusterDisk_Correct

Att tänka på:

  • Ta backup av miljön innan så man kan rulla tillbaka om något går fel
  • När man tagit ägarskap av katalogen, kontrollera så att inga VMs faktiskt ligger där. Tar man bort katalogen med dem där i så riskerar man att förlora dem
  • Syns problemet på fler en en nod i klustret, genomför ovan steg och i slutskedet, migrera Cluster Disk mellan noderna och säkerställ att allt fungerar i efterhand
  • I steg 3, säkerställ så du permanent tar bort katalogerna (töm papperskorgen), annars riskerar du att komma tillbaka till ruta 1


Informera användarna om Skype for Business

Vid ett projekt att rulla ut Skype for Business så förutom det tekniska är informationen till användarna väldigt viktig.

Att ta fram all denna information själv med text och skärmdumpar kan vara ett rätt stort arbete. Därför har Microsoft tagit fram Skype for Business client awareness and readiness resources som går att ladda ner här. Det är ett rejält arkiv på nästan 2 GB uppackat som innehåller bland annat:

  • Välkomstmail att skicka till användare som får Skype
  • Tips och tricks att maila ut i .docx eller .msg format
  • Lathundar/Quickstart Guides i .pptx och .pdf för Instant Messaging, Audio, Video, Möten och Samarbete
  • How to Videos

Eftersom de inkluderar de i Wordformat så kan de även anpassas till den egna organisationen.

Exempel på Quickstarts:

Skype4B-Quickstart1

Skype4B-Quickstart2

 

Xenit har bland annat script som automatiskt enable:ar nya användare för Skype. Till detta script går det att slå på så användarna får ett mail med information att deras konto numera kan köra Skype4B och till det kan man länka ett par ”lathundar”. Eller varför inte publicera instruktionsvideos på ert intranät?



Administrative Templates (.admx) for Windows 10

Microsoft släppte vad de kallar ”The Complete set of Administrative Template (.admx) files for Windows 10” under tisdagen den 17e november.
Detta är release version 1.0 och skall innehålla allt en administratör behöver för att styra Windows 10 datorer.
Installationsfiler finns på länken nedan och installeras på en domänkontrollant.

http://www.microsoft.com/en-us/download/details.aspx?id=48257



Hur konfigurera DNS-inställningar i DHCP scope

Nedan uppsättning är väldigt vanlig. Det kan antingen vara hos mindre kunder som bara har en DC (eller en SBS) eller på lokalkontor hos större kunder som då även har en site-to-site-VPN/WAN-länkar till central datahall.

DNS-DHCP

En vanlig konfiguration vi ser är att man på DHCP-scopet delar ut den lokala DC:n (192.168.1.5) som primär DNS och sedan en extern DNS (Googles 8.8.8.8/8.8.4.4 eller ISP:ns DNS) som sekundär DNS. Tanken med detta är att användarna ska fortsätta kunna surfa på Internet om (den enda) DC:n går ner och även förhindra eventuell trafik att gå hela vägen över de potentiellt långsamma länkarna till den centrala datahallen. Tyvärr är detta fel.

Anledningen till det är att om klienten av någon anledning börjar använda någon annan än den första DNS:en, till exempel om DC:n startar om, så kommer den i en tid framöver fortsätta göra detta och även cache:a en del av de svar de får. Plötsligt kommer klienterna med andra ord inte hitta lokala DNS namn vilket gör de tappar kontakt med domänen. Det kvarstår även en tid efter DC:n kommit upp igen eftersom klienterna inte direkt kommer gå tillbaka till den första DNS:en. Det behöver inte vara att DC:n startar om som gör att klienterna börja använda de externa DNS:erna utan det kan uppstå av många andra anledningar eftersom klienterna förutsätter att alla DNS:er kommer svara samma sak på samma frågor.

Resultat är att du kan få väldigt konstiga felrapporter.

Det finns flera lösningar på detta problem:

  • Skaffa ytterligare en DC som är redundant mot den första och använd de som alternativa DNS:er.
  • Sätt andra DC:ar i er forest som alternativa DNS:er även fast de anses vara över långsamma länkar. Att det går långsamt är trots allt att föredra än att det inte fungerar alls även fast DC:n väl kommit upp igen.
  • Ha en plan om nedtiden blir lång. Ett exempel kan vara att tillfälligt aktivera DHCP-scope på den lokala routerna som delar ut IP-adresserna till de publika DNS:erna.

I och med Windows 2012 R2 så finns det några nya funktioner som kan vara ett bra alternativ för dessa siter, till exempel finns det nu möjlighet att skapa DHCP Failover till en annan server utan att behöva bygga ett riktigt kluster.



Autentisering på trådat nätverk

Många ser över säkerheten på olika sätt. En del av vad som bör ses över är att datorer som exempelvis inte är med i domänen inte ska ha åtkomst till resurser på produktionsnätet.

Ett enkelt sätt att lösa detta är att aktivera autentisering på switcharna ihop med RADIUS. Det smidiga med det hela är att vi kan placera dem som inte är autentiserade på ett nät, exempelvis ett gästnät med PacketFence, och de som är autentiserad på produktionsnätet.

Exempel på en enkel konfiguration i Microsoft NPS (Network Policy Server) för att ha stöd för detta är:

  •  Skapa upp switcharna som RADIUS-klienter
  • Skapa en Connection Request Policy med conditions på exempelvis ”Ethernet” som NAS Port Type och ett regular expression för switcharnas namnstandard på NAS Identifier, exempelvis ”^SWITCH-.*$” för att täcka SWITCH-01, SWITCH-02 och SWITCH-03.
  • Skapa en Network Policy med samma conditions som ovan, men även på Machine Groups kopplat till domänens ”Domain Computers”. Se även till att använda ”Microsoft: Protected EAP (PEAP)” och ”Secured password (EAP-MSCHAP v2)” – vilket kräver att ett certifikat från ”RAS and IAS Server” template är utfärdat till servern.
    • Här kan även fler Network Policies kunna skapas för att exempelvis sätta VLAN beroende på medlemskap.

Innan autentisering kan aktiveras bör datorerna konfigureras för att ha stöd för detta. I detta exemplet använder vi datorn för autentisering och skapar då en GPO där vi konfigurerar 802.1X och sätter tjänsten ”Wired AutoConfig” till automatisk uppstart.

Wired8021X_01

Wired8021X_02

 

När NPS och datorerna är konfigurerat behöver switchen konfigureras för att ha stöd för detta. I mitt fall konfigurerade jag port 1-22 att använda sig av detta och kopplar VLAN 100 till autentiserade datorer och VLAN 200 till dem som inte är autentiserade. (exempel från HP ProCurve)

 

När allt är klart kommer datorer som är med i domänen att hamna på produktionsnätet och de som inte är det på gästnätet. För att se om datorn är autentiserad kan följande kommando köras från CMD:

 

Notering: Är Hyper-V installerat på klienten så är det i dagsläget problem (även på Windows 10) att använda sig av autentisering på det trådade nätet. Antingen att stänga av Hyper-V switchen alternativt byt till Internal/Private vid autentisering och sedan byta tillbaka är det som behövs.

Lämna en kommentar om du har några bra eller dåliga erfarenheter med detta, alternativt om du har några frågor!

Med vänlig hälsning,
Simon Gottschlag