Group Policy ist nun ein „hardened service“, kann also nicht gekillt werden, bzw. überschrieben

Group Policy ist nun NLA 2.0 aware (Network Location Awarness 2.0)

GPOTOOL.exe

Use the “Central Store” (ob der Store funktioniert, sieht man an der Grouppolicy)

Troubles:

Not correctly setup

SYSVOL not working

ADMX und ADML nicht im richtigen Verzeichnis

„alte“ Clients versuchen GPOL zu ändern

Achtung: Win 7 + R2 sind eine Spur „moderner“ als 2008 und Vista – daher Fehlers in der GPMC

XP Trouböle Shooting:

Major Events in Event Log

Log datei „userenv.log“:

Zum Lesen und Verstehen: wwwSysprosoft.com/policyreporter.html

Win 7:

Major Events System log (no userenv.log)

Minor Events in GroupPolicy Operational Log

Für Costum View: als Filter ‘Grouppolicy’, nicht ‘Group Policy’

Um jetzt genau einen Cycle zu troubleshooten, die Activity ID suchen, als Costum Query in the Costum Event Log.

GPLogView, downloadable from MS

Gplogview –m (Monitor)

GPResult /H GPReport.html

In der Grouppolicy Console kann man auch das Lesen von GPREsults „delegieren“.

Tracing kann eingeschalten werden – mit einer Grouppolicy, aber – diese muss man erst besorgen.

Ein echt wichtiger Stuff, das wird hilfreich in der Zukunft sein!

Mit freundlichen Grüßen
Paul Scholda                 

OK, da war ich am falschen Planet und muß noch viel lernen, sehr viel! Aber ich bekam eine Idee.

(nett, Mr Craddock erinnert mich in jeder Art an den „Original“-Q von James Bond)

No SA = No IPsec

ICMPv6 is exempt from IPsec

                Check with ping -6

NetSH is your best friend:

Demo zur Fehlersuche, Client kommt nicht auf’s Intranet:

Ping ‘http://sharepoint.internal’ – njet

Ping was anderes, ok, d.h., Internet ok

Ipconfig /all

Netsh interface 6to4 show state

Netsh interface 6to4 show relay

Ping ‘relay name’ (ipv4 failed)

Ping ipv6-gw-adress ok, aber wir brauchen beide

Netsh interface ipv6 show route

Netsh namespace show effectivepolicy

(nun den internen DA-Server pingen)

Ok, passt

Net view \\‘ipv6 adresse eines internen servers‘

Geht nicht, also wahrscheinlich IPsec das Problem sein.

Trick: In Netzwerkumgebung, Troubleshoot Assistent für DA starten. „falsche“ Fehlermeldung (DNS Server geht nicht, aber das haben wir gecheckt)

Immer (!) ein zweites Mal probieren!!! (Nun fehlt das Cert, abgelaufen)

Cert hjinzu, funktioniert!

‚DirectAccess Connectivity Assistent‘ hilft in einer Oberfläche mit der Suche (von MS Download für den Client)

Testen ggf auch, ob die CRL erreichbar!

NRPT (Name Resolution Table) dient dazu, den passenden DNS Server zu nehmen (www.bing.com, lokal konfigurierte DNS Server, interne Anfragen über die internen Server)

Netsh namespace show effectivepolicy

Netsh dnsclient show state

XTseminars mit Mr Caddock sollten wir noch nach Wien organisieren!

Mit freundlichen Grüßen
Paul Scholda                 

P.S.: Anmerkung von Christian Decker: Letztes Jahr gab es eine ähnliche Session, zu finden hier: teched 2009 Direct Access Technical Drilldown Part 1 IPv6 & Transition Technologies und hier teched 2009 Direct Access Technical Drilldown PArt 2 Putting it all together

Vortrag 1: Synchronisation von Mike Kostersitz

DirSync gibt es nach wie vor, ist erweitert worden (Powershell) und kann auch mehr administriert werden, bzw. gesteuert werden.

Größtes Problem aber: Nachwievor nur x86 und nicht auf einem DC Controller (.NET Framework 3.5 und Powershell erforderlich).

Zuerst bitte AD „saubermachen“, d.h., Sonderzeichen, etc. sonst bekommt man viele Fehlermeldungen.

Update von DirSync 1 machbar.

Einfaches DirSync mit diesem Tool möglich. Für komplexe Migrationen wird on-premise ein (zu zertifizierender) Exchange Server 2010 SP1 (Client Access Server) benötigt.

Dann sind Co-Existence Szenarien möglich und auch unterstützt, die Free/Busy ermöglichen, Online-Archive und on-premise-Mailboxen, moven der Systeme, etc. (Server Lizent nicht enthalten, Client CAL schon).

Nach GA: MS Forefront Identity Manager 2010 (x64, etc) wird neues Tool

Werde mich dann am Booth schlauer machen, aber zum Glück braucht man keine Federation zwingenderweise.

Witzig war, er sprach perfekt englisch, aber sobald er bemerkt, jemand spricht deutsch, redet er im  ebenso perfektem Wienerisch weiter – hätte es am schönen Bauch erkennen sollen – no offensive, Mike!

Vortrag 2: Office 265 Identity and Access

PW Policy controls for MS Online IDs

Single-Sign On with corporate credentials

Directory Sync update

5 Admin Roles

                Company

                Billing

UA

Helpdesk

Service Suppport

“Admin of behalf” for support partners

Mechanismen:

1. MS Online IDs (kleine Unternehmen ohne AD)

2. MS Online IDs + DirSync (co-existence möglich, auch für länger, Orgs with AD)

3. Federated IDs + DirSync (Active Directory Federation Server 2.0) (Nachteil: High-Availability Server notwendig; ist für große Unternehmen); jeder User braucht auch eine UPN mit einer öffentlichen Domain (also contoso.com statt contoso.local – Achtung: Impact z.B. bei SmartCArds)

Also Conclusio: Federation Services bedürfen einiger Anstrengungen und gehören genau geplant.

Mit freundlichen Grüßen
Paul Scholda                 

Kurzmitschriften Paul Scholda:

Archiving, Retention and Discovery with MS Exhange Server 2010 SP1

Archiv-DB kann nun getrennt von primärer DB sein

PST-Import nun möglich

Voller Support für Office365 und on-premise Exchange Server 2010 SP1, der User kann z.B. seine Mailbox lokal haben und das Archiv in-the-cloud und vice-versa.

Der User bemerkt überhaupt nichts, auch in OWA sieht er beide Ordner!

Retention Policies viel „feiner“ nun.

Managed Mailboxes auch flexibler als mit Exchange 2007 (Haltedauer, Löschzeit, etc.)

A Waklthrough for Office 365

Roled Based Model: So auf portal.microsoft.com wird je nach Userrechten das angezeigt, was man „darf“ (nur mehr eine URL)

Federations: man kann sein AD, mus aber nicht, mit Office365 „synchronisieren“ (ADFS mit mind. Windows Server 2008)

Service Connector. Installiert benötigte Updates (z.B. für office 2003) – Frage. Bleibt dieser aktiv?

Sharepoint: Powershell (remote), WebApps (laufen in einer Sandbox, MySite, Extranet

Live Demo: viele Checklists, so dass man “sauber” migrieren kann

Security Groups: endlich einfachere Rechteverwaltung

Vielfältige Reports über Spam, Usage, etc möglich

Viele Policy können verändert, eingestellt werden

Fragen: Umfang der einzelnen Suites (z.B. VM soll nicht in SB Variante sein); Einbindung InTune?

Generell: großer Schritt, jetzt ist es ein vollwertiges Produkt, auf Augenhöhe mit on-Premise Lösungen!

Paul Scholda                 

Jeremy Moskovitz

Das war das gestrige Highlight!

Jeremy hat vor seiner Session mit fast jedem persönlich geplaudert!

Das Demo war dann überzeugend:

Als normaler User ohne Admin-Rechte, Firefox geladen, UAC mit Esc beendet und FF trotzdem installiert!

Das Geheimnis, ein Verzeichnis, wo jeder R/W Rechte hat (%systemroot%\ProgramData), damit ist diese Maßnahme durch die Hersteller von Software auch untergraben (ursprünglich sollte dieses Verzeichnis nur zu Kompatibilitätszwecke verwendet werden, um alte SW zum Laufen zu bringen).

Dadurch, selbst wenn der IE abgesichert wird (der einzige Browser, der via Group Policies gemanaged werden kann), würden z.B. „böse“ Facebook-Apps via Chrome, FF, Safari durch den User ins System eingeschleppt werden – und wir wissen, wie einfallsreich User sind, die zwar ein Druckproblem nicht selbst lösen können, aber die Sicherheitsmaßnahmen des Sysadmins umgehen können!

Auf http://gpanswers.com findet man viele weiter GPOL Infos.

(bisschen irritierend, er verwendet VMware, nun gut, er ist ein MVP, kein MS Mitarbeiter)

Also als Lösung wäre Black-, bzw. White-Listing. Damit können obige Probleme verhindert werden.

Unter XP gab es bereits SRP (Software Restriction Policy), funktioniert noch unter Win7, aber  es gibt keinen Upgrade Pfad (obendrein „zieht“ zuerst AppLocker). Nur für Windows 7 EE + Ultimate und Server 2008 / R2! Ein weiterer Grund für Licensing und/oder InTune.

Reihenfolge, in der die Regeln ziehen:

1. Deny

2. Allow

3. Deny, wenn nicht erlaubt

Step1:

Execute and install Default rules (not necessary, but…)

Step 2:

Hinzufügen eigener Regeln

Step 3:

Starten des “Anwendungsidentität”-Dienst am Client!

(kann via GPOL eingeschalten werden; Achtung: braucht 2 Minuten, bis es aktiv wird)

Safety:

Hash rule am Besten,

dann Publisher (Publisher Cert kann gestohlen werden, siehe Security Bericht),

dann Path, hier kann „zuviel“ freigegeben werden (.DLLs sollten überwacht werden)

Man kann mit Rules explizit z.B. ab einer gewissen Version erlauben, auch dann ganz spezielle Versionen wieder verbieten (z.B. Adobe Reader ab 9.x, aber 9.2.0.1 nicht).

Der „Verboten“ Dialog kann verändert, bzw. ergänzt werden (GPOL).

Man kann eine „saubere“, „perfekte“ Maschine als Template übernehmen.

Policy können exportiert und dann am Server wieder migriert/importiert werden.

Für AppV: sowohl SFXTRAY.exe erlauben, als auch R/W Zugriff auf Q:

Diese Session hat viel gebracht! Fürchtet Euch, Ihr Standard User mit Euren iTunes, Safaris und ach so tollen Performance Apps, das wird nicht mehr gehen!

Mit freundlichen Grüßen
Paul Scholda                 

Eron Kelly

Allgemeine Einführung: jeder User immer und überall mit jedem Gerät Zugriff auf Daten und Arbeit. Von kleinen Unternehmen bis zu großen. Besonders kleine brauchen aber auch volle Features wie die großen.

Vision, wo MS sich überall sieht:

SaaS…Software as a service – consume it

PaaS-..Platform as a service – build it

IaaS…Infrastructure as a servive – use it

Office 365 – Pro Plus (online und on-premise), Exchange Online (2010), SharePoint Online (2010), Linc Online (IM, Communicator)

Wichtig: 99,9 % up time, garantiert! (downtime wird im Gegenzug zum Mitbewerb von der ersten Minute gezählt)

Datacenters werden unter dem Gesichtspunkt der Nachhaltigkeit gebaut. Von 30 bis 90 % weniger CO2 mit Office 365.

Beispiele:

                CocaCola

Starbucks (ein sehr schönes Beispiel, sehr verteilte Filialen, wo nunmehr alle ohne großen IT-Aufwand auf gemeinsame Informationen zugreifen können)

Godiva (Luxusschokolade, im KaDeWe im Feinkosttempel gesehen)

Von uns:

Polo (Niederlassungen über ganz Europa)

Urbantool (viele unabhängige Businesspartner, über die ganze Welt verstreut)

Office mit Web Apps, gleiches Interface, rasche Einschulung

Exchange Online: Voicemail; Archiving; etc.  full gesture set wie bei Exchange 2010 on-premise

Sharepoint: Intranet, MySites, Extranet alles selbst administrierbar

Lync: Federations mit anderen Lync Usern anderer Firmen

Office 365 Beta  in 7 Sprachen verfügbar

Office 365 GA 2011 (keine sehr genaue Angabe J für eine General Availability)

30-90 Tage nach GA Migration BPOS zu Office 365

Administratoroberfläche: sehr aufgeräumt, sehr logisch

Useroberflcähse: inkl. Link zum Downloaden des Office alles sehr selbst erklärend.

(kleines Problem: beim Öffnen im WebApp für Word klappte bei der Demo alles, beim Öffnen von Word – Absturz, man sieht, Live Demo!)

Bisschen Marketing noch:

MS eine Firma, der man vertrauen kann, die „die Kraft“ hat, solches Service anzubieten.

Persönlich: der Vortrag bot zuwenig für ITpro, noch immer nicht die Sync Möglichkeit von AD und Office365 gesehen (konnte mir auch gestern niemand am Booth zeigen)!

Mit freundlichen Grüßen
Paul Scholda                 

Eron Kelly

Allgemeine Einführung: jeder User immer und überall mit jedem Gerät Zugriff auf Daten und Arbeit. Von kleinen Unternehmen bis zu großen. Besonders kleine brauchen aber auch volle Features wie die großen.

Vision, wo MS sich überall sieht:

SaaS…Software as a service – consume it

PaaS-..Platform as a service – build it

IaaS…Infrastructure as a servive – use it

Office 365 – Pro Plus (online und on-premise), Exchange Online (2010), SharePoint Online (2010), Linc Online (IM, Communicator)

Wichtig: 99,9 % up time, garantiert! (downtime wird im Gegenzug zum Mitbewerb von der ersten Minute gezählt)

Datacenters werden unter dem Gesichtspunkt der Nachhaltigkeit gebaut. Von 30 bis 90 % weniger CO2 mit Office 365.

Beispiele:

                CocaCola

Starbucks (ein sehr schönes Beispiel, sehr verteilte Filialen, wo nunmehr alle ohne großen IT-Aufwand auf gemeinsame Informationen zugreifen können)

Godiva (Luxusschokolade, im KaDeWe im Feinkosttempel gesehen)

Von uns:

Polo (Niederlassungen über ganz Europa)

Urbantool (viele unabhängige Businesspartner, über die ganze Welt verstreut)

Office mit Web Apps, gleiches Interface, rasche Einschulung

Exchange Online: Voicemail; Archiving; etc.  full gesture set wie bei Exchange 2010 on-premise

Sharepoint: Intranet, MySites, Extranet alles selbst administrierbar

Lync: Federations mit anderen Lync Usern anderer Firmen

Office 365 Beta  in 7 Sprachen verfügbar

Office 365 GA 2011 (keine sehr genaue Angabe J für eine General Availability)

30-90 Tage nach GA Migration BPOS zu Office 365

Administratoroberfläche: sehr aufgeräumt, sehr logisch

Useroberflcähse: inkl. Link zum Downloaden des Office alles sehr selbst erklärend.

(kleines Problem: beim Öffnen im WebApp für Word klappte bei der Demo alles, beim Öffnen von Word – Absturz, man sieht, Live Demo!)

Bisschen Marketing noch:

MS eine Firma, der man vertrauen kann, die „die Kraft“ hat, solches Service anzubieten.

Persönlich: der Vortrag bot zuwenig für ITpro, noch immer nicht die Sync Möglichkeit von AD und Office365 gesehen (konnte mir auch gestern niemand am Booth zeigen)!

Mit freundlichen Grüßen
Paul Scholda                 

P2V Migration: Nicht für alles und nicht für jeden, aber für *DIE* Applikation (Buchhaltung, …)

http://windowsteamblog.com/windows/b/springboard/

Witzig: Bilder gezeigt, wann es Zeit ware, upzudaten: XP kam heraus, als wir noch Mobilphones benutzten, die nicht mal SMS senden konnten. Oder als Walkmans mit Kassetten rauskamen!

Die Idee war, im MDT ein Script zu haben, dass die existierende XP Maschine nicht nur upgradet, sondern auch gleich virtualisiert!

Folgende Tools waren beteiligt:

MDT

Disk2VHD (hier war viel Arbeit für alle Fixes erforderlich, geschah über das Thanksgiving Wochenende von Mark Russinovich – z.B. wurde der Text „Fix the HAL“ auf „Prepare for Virtual PC“ angepasst, da der Premier Support alle Änderungen an der HAL als massiven Eingriff ablehnt)

VirtualPC with shell integration

RemoteApp Hotfixes for XP SP3

(interessantes Tool am Desktop des Vortragenden:, „Ende XP Support in 3 Jahren, 4 Monaten und 29 Tagen“)

Vorgehensweise:

P2V Migration Tool for Software Assurance laden (man braucht Zugriff auf den Deploymentshare), laufenlassen, alle benötigten Files werden heruntergeladen und der MDT wird angepasst. Dann hat man zusätzliche Scripts im MDT!

Es wird empfohlen, nur Maschinen mit XP SP3 zu migrieren, aber es ginge auch Windows 7 32 bit zu migrieren auf ein  64 bit Windows 7!

Dennoch besser, wenn es bereits ein Update für eine Applikation gibt, dann diese nativ direkt unter Windows 7 installieren!

Limits:

· XP Activation klappt nur mit VL Lizenzen

· VPC unterstützt nur VHDs kleiner 127 GB

Sehr beeindruckende Demo! Und damit noch mehr eine Möglichkeit, Kunden rasch auf Windows 7 zu bringen – es wird keinen „Showstopper“ mehr geben.

Meine Empfehlung: anschauen, im eigenen Haus ausrollen und Kunden überzeugen (ab drei Maschinen zahlt es sich aus)

Mit freundlichen Grüßen
Paul Scholda