Search results matching tags 'Windows Server 2008 R2', 'WIndow Server 2003', and 'Windows Server 2008'

Active Directory door de jaren heen, deel 2 (Buitenlocaties)

Sander Berkouwer — Fri, 20 May 2011 12:14:00 GMT

Medewerkers kun je niet altijd allemaal bijeenpakken op één grote locatie of op locaties met onderlinge giga-bandbreedte. Vanaf een bepaalde grootte organisatie is het daardoor onvermijdelijk dat er buitenlocaties ontstaan, waar medewerkers hun eigen gang kunnen gaan. Active Directory helpt dit soort organisaties met het in toom houden van deze vestigingen.

Uitdagingen

Bottlenecks bij aanmelden

Wanneer medewerkers bijeen klitten op een kantoortje, dat met een aantal kilobit/s verbonden is aan het datacenter, dan ontstaan geheid bottlenecks bij aanmelden. Read-only Domain Controllers bieden hier een oplossing, doordat zij Active Directory naar het kantoortje brengen, zonder dat gevoelige wachtwoorden op straat komen te liggen, wanneer de server wordt ontvreemd uit het keukenkastje.

Universal group membership caching zorgt er daarnaast voor dat niet bij elke aanmelding een Global Catalog (in het datacenter) hoeft te worden benaderd, maar de antwoorden van deze servers (voornamelijk op het gebied van Universal Groups) tijdelijk worden onthouden.

Initiële replicatie

Echter, het inrichten van een Domain Controller op een buitenlocatie heeft behoorlijk wat voeten in de aarde, omdat alle informatie uit Active Directory (behalve dus de gevoelige wachtwoorden) dient te worden gerepliceerd vanuit het datacenter. Dit kan vervelende vormen aannemen. Active Directory biedt de mogelijkheid om deze initiële replicatie uit te voeren met een speciale kopie van de database een Domain Controller uit het datacenter. Dit heet Install From Media (IFM). Niet heel nieuw, maar vanaf Windows Server 2008 is het ook mogelijk om de creatie van deze back-ups te scripten met ntdsutil.exe.

Minimaal replicatieverkeer

Wanneer een Domain Controller eenmaal in een buitenlocatie is geplaatst, dan dient deze zo min mogelijk brandbreedte op te slokken, zodat collega’s zonder al te veel zorgen de applicaties uit het datacenter kunnen gebruiken. Windows Server 2003 introduceerde Link Value Replication. Bij het wijzigen van een groepslidmaatschap scheelt dit bergen met replicatieverkeer.

Nadien hebben we kennis mogen maken met DFS-Replication for SYSVOL, waardoor wijzigingen in het System Volume (waaronder wijzigingen aan Group Policies en scripts) op blockniveau kunnen worden gerepliceerd in plaats van op bestandsniveau. Zo zorgt een kleine wijziging in een groot bestand er voor dat slechts de kilobyte die de wijziging bevat wordt gerepliceerd in plaats van het gehele bestand.

Concluderend

Sinds Windows Server 2003 is het gemakkelijker geworden om collega’s op buitenlocaties te faciliteren vanuit Active Directory. Zowel Domain Controllers op basis van Windows Server 2008 als op Windows Server 2008 R2 bieden bovenop de functionaliteit van Windows Server 2003 extra oplossingen voor veelvoorkomende uitdagingen op buitenlocaties.

Sander Berkouwer is een IT-professional, werkzaam voor Operator Groep Delft (OGD). Hij is een Microsoft Most Valuable Professional (MVP) voor Directory Services. Andere plekken op het Internet naast het IT Pro Community Blog, waar je Sander kunt volgen zijn Sanders blog op de DirTeam.com/ActiveDir.org Weblogs (Engelstalig). Hij is coauteur van de Nederlandstalige TechNet-Nieuwsbrief en daarnaast loop je grote kans Sander tegen het lijf te lopen tijdens Microsoft evenementen. Als gewaardeerd spreker is hij meestal wel op een manier betrokken bij de Microsoft IT Pro evenementen.

Active Directory door de jaren heen, deel 1 (Informatiebeveiliging)

Sander Berkouwer — Thu, 19 May 2011 07:44:56 GMT

Authenticatie, autorisatie en auditing zijn de belangrijkste bouwstenen van beveiliging voor een netwerkomgeving. Dit drietal zorgt ervoor dat medewerkers zich dienen te legitimeren aan de hand van bijvoorbeeld een wachtwoord en/of smartcard, dat zij aan de hand van deze legitimatie toegangsrechten krijgen en dat al hun bewegingen kunnen worden bijgehouden. Active Directory is de basis voor de implementatie van dit AAA-protocol.

Uitdagingen

Beveiliging kan, naarmate een netwerkomgeving groeit, een beheerder boven het hoofd groeien. Op een bepaald moment zijn er meerdere beheerders nodig en dan steken de echte uitdagingen de kop op. Juist in Active Directory zijn de laatste paar jaren vele nieuwe functionaliteiten toegevoegd om deze uitdagingen het hoofd te bieden. Met Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 werd steevast nieuwe functionaliteit geïntroduceerd.

Meerdere beheerders

Dagelijks Active Directory beheer bestaat uit het aanmaken, aanpassen en verwijderen van gebruikers-, computer- en groepsobjecten. Binnen een groep van beheerders kan het onaangenaam confronterend zijn wanneer een ander iets (per ongeluk) weg mikt, dat net werd aangemaakt. Functionaliteit, zoals Protect Against Accidental Deletion (standaard enabled voor OUs in domeinen vanaf Windows Server 2008)en de Active Directory Recycle Bin, bieden goede oplossingen voor dit soort situaties.

Naleven van naming conventions

Het niet nakomen van naming conventions maakt van een Active Directory omgeving een ondoorzoekbare hoop gegevens. Met de Active Directory PowerShell cmd-lets onder de motorkap, kunnen beheerders zelf een script en/of portal maken waarin beheerders hun beheertaken eenduidig kunnen uitvoeren.

Linkerhand, rechterhand

Bij grote afdelingen speelt verder mee dat een beheerder vaak niet weet wat zijn collega’s uitspoken, maar wel eindverantwoordelijk is voor de Active Directory. Knap ongemakkelijk. Met de Active Directory Best Practices Analyzer kan middels een scan een overzicht worden verkregen van de technische staat van de Active Directory omgeving en of er instellingen zijn die correct functioneren ondermijnen. Mocht dit zo zijn, dan kan via de meer uitgebreide Active Directory auditing subcategorieën worden achterhaald welke beheerder een specifieke instelling op zijn of haar geweten heeft en wat er voor de wijziging was ingesteld.

Meer doen met minder bandbreedte

Active Directory Users and Computers (dsa.msc) wil bij grote beheerafdelingen nog wel eens leiden tot time-outs. Het RPC-protocol dat wordt gebruikt om de Active Directory te beheren is niet te configureren. Met de Active Directory Web Services kunnen quota worden ingesteld per BeheerPC, waardoor vat kan worden gekregen op de bandbreedte richting specifieke Domain Controllers .

Hetzelfde doen met minder hardware

Tot slot, vergt het beheer van dertig Domain Controllers meer dan het beheer van vijftien Domain Controllers. Read-only Domain Controllers verminderen het aantal kopzorgen, maar echt schrappen in het aantal Domain Controllers kan pas echt sinds de Fine-grained Password Policies. Wanneer binnen een organisatie meerdere wachtwoordbeleidsinstellingen dienen te worden geconfigureerd, dan hoeft niet langer een separaat Active Directory domain te worden gemaakt (en uitgevoerd met twee Domain Controllers volgens de best practices).

Concluderend

Active Directory biedt een authenticatie, autorisatie en auditing (AAA-) oplossing voor kleine en zeer grote omgevingen. De laatste paar versies van Active Directory lag een accent op het gemakkelijker beheren van Active Directory met een grotere groep beheerders. Zowel Domain Controllers op basis van Windows Server 2008 als op Windows Server 2008 R2 bieden oplossingen voor veelvoorkomende uitdagingen.

Er lagen ook accenten op andere gebieden. Hierover meer in de volgende delen van deze serie!

Inheritance vinkje steeds uit? Rechten ‘kwijt’?–> Het Active Directory AdminSDHolder proces!

Erwin Derksen — Sun, 03 Apr 2011 13:16:00 GMT

Menigeen heeft geen idee wat het is, maar als je je erin verdiept,
dan kan dit een boel ‘vreemde zaken’ verklaren.

Zo werd ik betrokken bij een issue van een klant dat al lange tijd speelde.
Op een of andere manier raakten zij steeds rechten ‘kwijt’ op bepaalde accounts.

Zij hadden op een aantal OU’s rechten uitgedeeld (delegation of control) aan een specifiek account.
In dit geval ging het om een SharePoint serviceaccount dat rechten moest krijgen om foto’s
(thumbnailphoto attribute) en andere gegevens bij te werken voor gebruikersaccounts.

Zo kunnen gebruikers op de MySite zelf hun gegevens bijwerken, terwijl deze dan ook netjes in AD worden aangepast.

Echter, bij een aantal accounts ging dit steeds mis.

Bij een groot aantal gebruikers werd steeds het inherit vinkje uitgeschakeld,
waardoor de aangepaste rechten op een bovenliggende OU niet werden toegepast.
Bovendien werden de rechten gereset, zodat ze ook bij handmatig instellen steeds werden gereset.
Resultaat: Delegation of control werkte niet en dus ging de SharePoint synchronisatie ook steeds mis…

Verantwoordelijk hiervoor bleek het AdminSDHolder proces.

Het AdminSDHolder proces:

Binnen AD bestaan zogenaamde ‘Protected Groups’.
(Zie voor een lijst de bijlage onderaan)
Als een account lid is van een dergelijke groep, dan wordt elk uur het AdminSDHolder proces uitgevoerd.
Dit is een proces dat alle objecten beschermt die lid zijn van een ‘protected group’.
Staat het inherit vinkje dan aan, dan wordt dat door dit proces uitgezet en worden de rechten gereset.
Tevens wordt er een AdminCount waarde van 1 gezet (dit is standaard <NOT SET>) ten teken dat dit object ‘protected’ is.

Voor leden van protected groups geldt dat de rechten van de (lege) AdminSDHolder container worden vergeleken met die van het user object.
Zijn ze verschillend, dan worden de rechten van de AdminSDHolder container toegepast op de user.

Het idee achter het adminSDHolder proces is het beschermen van beheeraccounts. Stel immers dat een admin account lid is van
een OU waarop bijvoorbeeld de helpdesk rechten heeft gekregen om userobjecten aan te passen….
De Helpdesk zou dan dit admin account kunnen aanpassen, om dit soort zaken te voorkomen is er het adminSDHolder proces.

Het adminCount attribute:

Een protected object wordt als volgt weergegeven:

NIET protected : adminCount attribuut heeft geen waarde zoals hier te zien:
(<NOT SET> is de standaardwaarde, maar 0 geeft hetzelfde resultaat.)

WEL protected: adminCount attribuut heeft waarde 1:

Om bovenstaande te kunnen zien moet het ADSI view filter worden aangepast:

Klik CLEAR om de waarde te wijzigen. Hij verandert dan naar <NOT SET>.
Als we dit als test doen en apply geven, dan zien we direct dat de rechten van bovenaf keurig doorerven op dit object.
Echter, na een uur wordt dit dus weer ongedaan gemaakt als een object lid is van een protected group.
De AdminCount waarde wordt dan gereset naar 1 en het vinkje inherit wordt weer uitgeschakeld.
De rechten worden weer gereset naar de waarden die op de AdminSDHolder container van toepassing zijn…

De AdminSDHolder container

De standaard rechten op AdminSDHolder (Let Op: Advanced Features view moet aan staan!)
Deze worden dus elk uur toegepast op ‘protected’ objecten.

Standaard loopt dit dus elk uur (3600 seconden),
het kan ingesteld worden tussen 1 minuut (60s) en 2 uur (7200s) via de registry,
maar dit wordt uitdrukkelijk afgeraden en wel om de volgende redenen:

Het instellen van een kortere interval kan een flinke impact hebben op de performance van AD
De server (2000/2003) of de AD service (2008(r2))moet herstart worden om de wijziging actief te maken
Het wijzigen van dit soort waarden is sowieso niet verstandig vanuit beheerperspectief, het kan troubelshooting in de toekomst complexer maken omdat afgeweken worden van standaard waarden die normaliter geen aanpassing behoeven
De instelling moet per Domain Controller worden gedaan, bij het verplaatsen van de PDC Emulator rol naar een andere DC kan dus een andere interval van toepassing worden, hetgeen verwarrend is.

Is de key niet aanwezig en dus wordt de standardwaarde van 1 uur gebruikt.

LET OP!

Is een gebruiker lid van een protected group (zie bijlage voor de lijst), dan treedt dus dit issue op,
maar ook als hij lid is GEWEEST van een groep, dan blijft het protected kenmerk staan.
Dit wordt dus NIET automatisch teruggezet!

Maar: Welke objecten zijn in mijn AD protected???

Het is handig om een overzicht te hebben van alle protected objecten, ofwel,
objecten waarbij de adminCount waarde op 1 staat.
Van deze objecten worden immers steeds de rechten gereset en het inherit vinkje uitgeschakeld!
Download het gratis programma ADFIND van www.joeware.net en voer het volgende commando in:

Voor het zoeken van protected USERS:

AdFind.exe -b DC=<DOMEIN>,DC=<NAAM> -f "&(objectcategory=person) (samaccountname=*) (admincount=1)" –dn

Met de toevoeging >export.txt exporteer je het resultaat naar een TXT file.

Je kunt dit commando ook gebruiken voor het opvragen van protected GROEPEN:

AdFind.exe -b DC=<DOMEIN>,DC=<NAAM>-f "&(objectcategory=group) (admincount=1)" –dn

Een goed optie is ook het gebruiken van de standaard aanwezige commando's zoals onderstaande voor groepen EN users:

dsquery * -filter "&(|(objectcategory=user)(objectcategory=group))(admincount=1)" -l -attr distinguishedname -limit 0

Mocht je de adminCount waarde van objecten willen resetten, dan kan dat met het script op
DEZE pagina. Dit script zet alle adminCount waarden op 0. Als vervolgens het AdminSDHolder
proces weer draait, dan worden alle accounts die lid zijn van een protected group
automatisch weer protected gemaakt (adminCount waarde wordt weer 1).

Gebleken is dat dit script niet in elke omgeving goed werkt (bij mij werkte het prima), vandaar HIER een alternatief script.

Je kunt eenvoudig controleren of het adminSDHolder proces draait door enige tijd na het
draaien van het vbscript de adfind commando’s te gebruiken.

Blijft over de vraag waarom het bij deze klant om een groot aantal gebruikers ging die als ‘protected’ werden aangemerkt.
Welnu, men had in het verleden ooit de groep ‘Domain Users’ lid gemaakt van ‘Print Operators’.
Print Operators is protected en aangezien protected groups ‘transitive’ zijn, werd ‘Domain Users’ ook protected
en daarmee dus accounts die weer in ‘Domain Users’ zaten. Dit bleef onopgemerkt, totdat
men ging werken met Delegation of control, ofwel, het toekennen van rechten voor het SharePoint
serviceaccount aan een OU. De oplossing was eenvoudg; het verwijderen van ‘Domain Users’
uit “Print Operators’, het resetten van de adminCount waarde op deze groep en vervolgens middels
het genoemde VBScript het resetten van alle accounts.

Het gaat overigens ook mis als gebruikers lid zijn van admin groepen, terwijl
de gedelegeerde rechten wel op hen van toepassing moeten zijn.
In dit geval: Is een account in gebruik als beheeraccount, terwijl
het SharePoint serviceaccount dit account moet kunnen wijzigen, dan kan dat dus niet…
Zou dit dan een goede reden zijn om beheerders een separaat gebruikers- en beheeraccount te geven
(en dus niet je beheeraccounts als standaardaccount gebruiken….)

(Nu kun je natuurlijk vast de default rechten van de adminSDHolder container wijzigen, of het serviceaccount domweg lid maken van
domain admins, maar laat ik verder niet ingaan op de wenselijkheid van dat soort ‘oplossingen’…)

Kortom, je bent nu op de hoogte van het bestaan en de werking van het adminSDHolder proces.
Heb je direct een goede reden om beheer- en dagelijks gebruik te scheiden middels separate accounts…
(voor diegenen die dat al deden: Goed bezig!)

BIJLAGE: Lijst protected groepen.

De volgende groepen zijn standaard ‘protected’

In Windows 2000 voor SP4: (Gebruikt iemand dat nog???)

Enterprise Admins
Schema Admins
Domain Admins
Administrators

Windows Server 2000 SP4 of hoger:

Enterprise Admins
Schema Admins
Domain Admins
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers

Voor Windows Server 2008 (R2) extra toegevoegd:

Read Only Domain Controllers

De volgende gebruikers zijn ook standaard protected.

Administrator
Krbtgt (in 2003 geïntroduceerd, in 2008 R2 weer verdwenen.)

NB: Het is (tot op zekere hoogte) mogelijk om te bepalen welke groepen protected zijn.
Kijk HIER voor meer informatie daarover.

Folder Redirection – Best Practices

Erwin Derksen — Fri, 03 Dec 2010 21:51:00 GMT

Een item waar klanten regelmatig mee stoeien is Folder Redirection. Ik zie dat toch nog regelmatig misgaan en het leek me een goed idee om hier eens wat over te posten.

Folder Redirection is een zeer handig middel om het zowel de gebruiker als de beheerder gemakkelijk te maken data op te slaan op het netwerk. Dit zorgt ervoor dat gebruikersdata veilig wordt opgeslagen, centraal te backuppen is en, niet onbelangrijk, overal beschikbaar is. De meeste beheerders willen immers niet dat bijvoorbeeld ‘My Documents’ onderdeel is van het profiel ;-) Je haalt dus bepaalde data uit het profiel en slaat dit op een fileserver op, dit zorgt ook voor snellere aanmeldtijden, Windows hoeft immers minder data te kopiëren omdat het profiel compacter is.

Ook werkt folder redirection handig als een gebruiker op meerdere systemen tegelijkertijd is ingelogd. Vaak redirect men “My Documents’ naar de homedrive, zodat er voor de gebruiker maar 1 logische plek is om persoonlijke data op te slaan. Folder Redirection kan overigens gecombineerd worden met Offline files (fors verbeterd in Windows 7 trouwens) voor notebook gebruikers.

Een migratie naar Windows 7 is overigens een uitstekende gelegenheid om folder redirection (weer) eens onder de loep te nemen en goed in te richten….

Zoals voor zoveel dingen in het leven geldt ook hier: Denk eerst goed na over wat je met Folder Redirection wilt bereiken en test het eerst goed uit voordat je het in productie toepast…

Enkele handreikingen:

Accepteer de standaard instellingen, die voldoen voor de meeste gevallen.
Laat bij voorkeur het systeem de mappen aanmaken, dan staan automatisch de rechten goed ingesteld.
- Het kan echter zijn dat er al mappen bestaan of dat men ze perse vooraf wil aanmaken, let er dan op dat de juiste rechten staan ingesteld, zie hiervoor de bijlage onderaan het artikel.
Gebruik alleen UNC paden… DFS kan zaken nog makkelijker maken.
Folder Redirection ondersteunt de volgende variabelen voor het redirection pad:
- %USERNAME%
- %USERPROFILE%
- %HOMESHARE%
- %HOMEPATH%
Laat submappen van ‘My Documents’ waar ze horen: onder ‘My Documents’
Als je redirect naar de home directory…
- …Dan worden de rechten niet gecontroleerd of aangepast. Dit betekent dat de beheerder moet zorgen dat de home directory’s goed zijn beveiligd!
- …Dan moet het homedrive pad in Active Directory goed zijn ingevuld!
- …Dan hebben Domain Admins toegang tot de map
- …Let er in een Terminal Server / RDS Scenario op dat je geen aparte ‘Terminal Server Homedrive’ instelt. Hoewel het technisch wel werkt, zorgt het voor vertraging bij het in- en uitloggen, doordat er data wordt gekopieerd van de standaard homedrive naar de Terminal Server homedrive. In de meeste gevallen zal het pad echter gelijk zijn en zal alleen een standaard homedrive (profile tab in AD) staan ingesteld.

Redirection van de homedrive?

Zorg dan dat onderstaand pad in AD goed staat!

Deze optie is echter niet beschikbaar voor alle mappen! Zo kun je bijvoorbeeld ‘Desktop’ en ‘Start Menu’ niet naar de homedrive verwijzen.

Welke mappen kunnen we redirecten?

Links de mappen die geredirect kunnen worden in de 2003/XP policy. Rechts een policy van 2008(R2) / Windows 7. Zoals je ziet hebben we daar iets meer mogelijkheden, hoewel het principe gelijk blijft.

In 2008 R2 policies heb je voor de submappen ‘Pictures’, ‘Music’ en ‘Videos’ van ‘My Documents’ onderstaande optie om het instellen wat te vereenvoudigen:

Let op, als je XP systemen met een 2008 R2 policy aanstuurt, dan is het handig het volgende vinkje in te schakelen, anders wordt de redirection policy niet op XP toegepast:

Deze instelling is uiteraard alleen van toepassing op mappen die XP herkent.

O ja, ik ben blij dat we nu ook ‘Favorites’ kunnen redirecten, daar zijn gebruikers over het algemeen nogal aan gehecht…

Let wel op met de volgende setting:

Deze zorgt ervoor dat de rechten goed worden gezet, maar deze setting controleert (als het een bestaande map betreft) ook het ownership van de map. Is de te redirecten gebruiker geen owner, dan faalt het redirecten…. Zonder dit vinkje wordt dit niet gecontroleerd en kan de owner van de map dus anders zijn dan de gebruiker…

Redirecten van AppData

Het redirecten van de map AppData naar een share zorgt ervoor dat applicatie instellingen ook centraal op het netwerk worden opgeslagen. Het voordeel is dat een gebruiker dan geen zaken opnieuw hoeft in te stellen wanneer hij aanlogt op een nieuw systeem of om een andere reden een nieuw profiel krijgt.

Toch is het redirecten van Application Data niet geheel zonder risico, er zijn genoeg voorbeelden te vinden van applicaties die toch niet helemaal lekker meer werken zodra je de map AppData redirect. Dit komt dan doordat die applicatie op een niet-standaard manier probeert instellingen naar het profile te schrijven…

Over het algemeen werkt het prima en het kan zeker geen kwaad om hier eens mee te testen. Configureer een testaccount, plaats dit in een aparte OU met een eigen redirection policy en log in op een representatief systeem om vast te stellen of alle applicaties blijven werken.

Overigens is er ook iets voor te zeggen om AppData juist niet te redirecten, gebruikers kunnen dan op verschillende systemen verschillende instellingen hebben. Bovendien betekent een nieuw profiel dan per definitie nieuwe instellingen…

De AppData map ziet er in Vista/7 overigens anders uit. Er is voortaan een onderverdelen in de volgende 3 submappen:

Hierbij bevat alleen ‘Roaming’ de data die ‘roaming’ moet zijn. Machine specifieke data staat in de Local mappen.

Compatibility met XP

O Ja, en het ‘All Users’ profiel heet voortaan ‘Public’. En de Recycle Bin wordt voortaan als hidden file in het profiel geplaatst. Om compatible te blijven met oudere applicaties die nog de XP paden verwachten zijn er ‘junction points’ aangemaakt. Dit zijn verwijzingen naar de nieuwe locatie in de Windows 7 profielstructuur.

Zo zie je hieronder dat Application Data een junction point is naar AppData\Roaming…

Met het commando dir /ad kan men in de c:\users\<gebruikersnaam> map de junction points opvragen.

In de verkenner (hidden folders aan!) ziet het er zo uit:

Zoals je ziet is de profielstructuur vanaf Vista ingrijpend veranderd, vandaar dat gebruikers ook een .V2 profiel krijgen zodra ze inloggen op een 2008(r2) of Vista/7 machine. Dit zorgt er in ieder geval voor dat beide systemen naast elkaar kunnen bestaan.

Ik hoop hiermee wat meer duidelijkheid te hebben gegeven over folder redirection. Hieronder nog de bijlagen met de diverse rechten die nodig zijn als je handmatig de mappen wilt aanmaken.

BIJLAGE: Rechten

Rechten op de root map:

Eventuele share rechten:

" border="0" alt="clip_image018" src="http://blogs.microsoft.nl/blogs/itprocommunity/clip_image0186_thumb_561F3F43.jpg" width="632" height="125" />

En tot slot de rechten voor elke gebruikers map die geredirect wordt:

Installatie FEP

Martijn Bellaard — Tue, 12 Oct 2010 14:02:17 GMT

In mijn vorige blog heb ik iets vertelt over FEP. Zie:(http://blogs.microsoft.nl/blogs/itprocommunity/archive/2010/09/27/wat-is-microsoft-forefront-endpoint-protection-2010.aspx)

In de deze blog wil de setup van FEP doornemen. Ik begin met de prerequirements en daarna doorloop ik de setup van FEP.

Prerequirements FEP.

Het installeren van FEP is niet een heel lastig verhaal. De voorbereiding daarentegen vraagt wel om de nodige aandacht. In mijn vorige blog vertelde ik dat FEP gebruik maakt van SCCM. Deze zul je dus eerst moeten installeren. Naast SCCCM zul je ook nog meer software moeten installeren. In het onderstaande tabel vind je een overzicht.

Geheugen	Minmaal 2 GB
Disk ruimte	Forefront Endpoint Protection server: 1 GB Forefront Endpoint Protection database: 6 GB Forefront Endpoint Protection reporting database: 6 GB
OS	Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows Server 2008 Service Pack 1
IIS + onderdelen	IIS Static Content Default Document Directory Browsing HTTP Errors HTTP Redirection ASP.NET Windows Authentication IIS 6.0 management Compatibility BITS WebDav
SQL server versie	Microsoft SQL Server 2005 Standard or Enterprise Editions, with Service Pack 3 Microsoft SQL Server 2008 Standard or Enterprise Editions
SQL server onderdelen	SQL Database Services Analysis Services Integration Services Reporting Services SQL Server Agent Windows Authentication
SQL cluster server configuratie	Werk je met een SQL cluster zal je gebruik moeten maken van een Domain Account Integration Services moet op alle nodes aanwezig zijn
WSUS	Microsoft Report Viewer Redistributable 2005 WSUS 3.0 SP1 !! Let op!! Niet de wizard van wsus na de setup doorlopen.
SCCM	SCCM 2007 SP2 SCCM 2007 R2 Volgend SCCM componenten Hardware Inventory Software Distribution Desired Configuration Management
Aanvullende software	Microsoft Windows Installer version 3.1 Microsoft .Net Framework 3.5 Service Pack 1
Accounts	· SQL Service Account

In mijn test omgeving werk ik met Windows 2008 R2, SQL 2005 SP3 en SCCM 2007 R2.

Het belangrijkste tijdens de voorbereiding is dat je de juiste onderdelen van SCCM 2007 R2 selecteert. Daarna is het belangrijk om SCCM te configureren voordat je begint met de installatie van FEP.

FEP installeren

Nu de server klaars is kan je gaan beginnen met de installatie van FEP. In 16 stappen kun je vervolgens FEP installeren

Je start setup via: serversetup.exe..
Op de Welcome pagina kun je een Name en de Organization invoeren.
Next
Accepteer de License Agreement
Next.
Selecteer de juiste topology. Ik heb voor de Basic topology gekozen.
Next.
Op de Reporting Database Configuration pagina:.
- In de URL boxes vul je de URL van de SQL reporting server in.
- In de User name boxes vul je de gebruikersnaam in die een connectie mag maken naar de report server. In de Password boxes, type je het wachtwoord in.
Op de Updates and Customer Experience Options pagina maak je een selectie en druk je op Next.
Op de SpyNet Policy Configuration pagina kies je voor Advanced SpyNet membership. Door deel te nemen aan het SpyNet network help je Microsoft met het vinden van antimalware
Next.
Op de Installation Location pagina geef je de locatie waar je FPE wilt installeren aan.
Next. Je krijgt nu een Prerequisites Verification. Voordat de installatie daadwerkelijk van start gaat controlleert de installer of je systeem voldoet aan de eisen. Als je geen fout meldingen krijgt kun je verder gaan
Next.
Setup Summary geeft een overzicht van de setup zoals deze uitgevoerd gaat worden. Dit is het laatste moment dat je nog iets kunt veranderen.
Next.

VPN Generaties

Martijn Bellaard — Tue, 15 Dec 2009 20:18:35 GMT

VPN is een techniek die al een hele tijd mee gaat. De VPN techniek is bedacht om thuiswerkers toegang te geven tot het bedrijfsnetwerk of om twee locaties over een openbaar netwerk aan elkaar te koppelen. De voorloper van de VPN was de modem. Hiermee bel je in op je bedrijfsnetwerk over een “openbaar” telefoonnetwerk. Hiervoor heb je een modem, een telefoonaansluiting en inbelsoftware nodig. Met de komst van internet en een vaste aansluiting deed de VPN technologie zijn intrede. Hiermee is het mogelijk om over het internet een veilige verbinding te maken met het bedrijfsnetwerk. In deze blog wil ik eens stil staan bij de verschillende VPN generaties.

De eerste generatie (internet) VPN

De eerste generatie VPN zijn VPN’s zoals PPTP (MS), L2F (Cisco), IPSec en L2TP. Om gebruik te kunnen maken van deze VPN technologie moet er op de gebruikerswerkplek een client geïnstalleerd en/of geconfigureerd worden. Dit is een handeling die voor de meeste eindgebruikers een te complexe handeling is. Daarnaast moet je ook vaak admin rechten hebben. Beheerders stellen daarom vaak deze VPN in voor de gebruiker en vertellen dan deze gebruiker wat hij moet doen.

Als een gebruiker dan thuis is kan hij of zij over internet de VPN opzetten en het bedrijfsnetwerk benaderen. Als ze ditzelfde vanaf een ander bedrijfsnetwerk proberen lukt dit niet altijd. De reden hiervan is dat de firewall vaak alleen HTTP en HTTPS verkeer doorlaten. De eerste generatie VPN gebruikt juist andere poorten en kunnen dus niet door deze firewalls heen.

Bij de eerste generatie VPN is het vaak alles of niets. Als organisatie kun je niet bepalen welk verkeer er wanneer over de VPN mag gaan. Als de gebruiker een VPN heeft opgezet kan al het verkeer door de VPN heen. Vaak kwamen VPN’s dan ook uit in een VPN wolk. Tussen de VPN wolk en het interne netwerk zit dan een firewall. Ook wordt split-tunneling toegepast en kan een gebruiker niet meer het internet op als de VPN openstaat. Hierdoor is het niet mogelijk om vanaf het internet, via de gebruikers PC een connectie te maken met het bedrijfsnetwerk.

De eerste generatie VPN kent dus drie nadelen:

Ze moeten door een beheerder worden geconfigureerd
Ze gaan niet door elke firewall heen
Het gefaseerd toegang verlenen op basis van een aantal controles en regels, al zijn er in een later stadium wel oplossingen geweest die dit konden.

De tweede generatie (internet) VPN

De tweede generatie VPN is de SSL-VPN. Een SSL-VPN maakt gebruik van het SSL protocol om de client aan het bedrijfsnetwerk te koppelen. Door gebruik te maken van SSL gaat het netwerkverkeer over HTTPS (443) en deze staat wel open op de meeste firewalls. Hierdoor was het wel mogelijk om (bijna) overal de VPN op te bouwen.

Bij een SSL-VPN kwam ook de portal website. Een gebruiker logt in op een portal website. Deze portal website start dan met een client controle. Dit gebeurt met een ActiveX of Java plugin. Deze verzamelt dan gegevens over de status van de client. Is deze lid van het Domain? Welk operating system wordt er gebruikt? Is er een anti-virus software aanwezig? Aan de hand van deze gegevens en de gebruiker gegevens wordt er vervolgens bepaalt tot welke bedrijfsgegevens een gebruiker toegang krijgt. Hierdoor is het mogelijk dat een gebruiker in een internetcafé zijn mail kan lezen. Later in het hotel op zijn eigen laptop krijgt hij ook toegang tot de CRM website.

Naast het feit dat dit soort portals het mogelijk maken om gebruikers gefaseerd toegang te verlenen vragen ze ook om een minimale configuratie. De SSL-VPN wordt opgebouwd op basis van een Java of ActiveX plug-in client. In theorie hoeft een gebruiker alleen in te loggen op de portal om de VPN te starten. Maar omdat internet een onveilige plek is worden browsers steeds veiliger gemaakt. Hierdoor is het steeds lastiger of soms onmogelijk om de Java en ActiveX plug-in client te installeren. Gebruikers moeten dan lastige handelingen verrichten om de VPN aan de praat te krijgen. Handelingen die ze vaak niet mogen doen in een internetcafé.

De tweede generatie VPN loste dus twee van de drie nadelen op, maar het installeren is nog vaak lastig en soms zelfs onmogelijk als een gebruiker geen admin rechten heeft. Ook is dit een VPN technologie met veel overhead, omdat het IP pakketje helemaal ingepakt wordt in een SSL pakketje.

De derde generatie VPN

Met de komst van IPv6 en Windows 2008 R2/Windows 7 zien we een nieuwe VPN technologie ontstaan. Een VPN technologie waarbij de gebruiker altijd een VPN connectie heeft als hij een internet connectie heeft. Op het moment dat de client aangezet wordt zal deze een VPN connectie opbouwen met het bedrijfsnetwerk. Hiervoor zijn er geen handelingen meer nodig van de eindgebruiker. De VPN komt zelfs op, voor het aanloggen. De derde generatie VPN technologie zorgt er voor dat het interne netwerk uitgebreid wordt over het internet en dat elke client altijd een connectie heeft met het interne netwerk.

De grote voordelen van deze techniek is dan ook dat er geen gebruikers acties nodig zijn om de VPN op te bouwen. De gebruiker zal dan ook geen verschil merken tussen op kantoor werken en remote werken. Als beheerder kun je ook nu eenvoudiger remote support geven aan de gebruiker. Alle tools die je normaal gebruikt om gebruikers binnen je interne netwerk te ondersteunen kun je nu ook gebruiken voor mobiele gebruikers. Ook zaken als updates en policy’s kun je naar de client PC pushen zonder dat de gebruiker hoeft in te loggen.

Mobile IPv6 (MIPv6)

MIPv6 is een techniek dit speciaal bedoeld is voor mobile gebruikers. Gebruikers die geen vaste werkplek hebben en dus regelmatig op verschillende locaties zijn. MIPv6 zorgt er voor dat netwerk verkeer netjes over een tunnel verstuurt worden naar het bedrijfsnetwerk. Als beveiliging wordt er dan gebruik gemaakt van IPSec. (Er is ook een MIP). Voor een MIPv6 implementatie zul je op de client MIPv6 moeten configureren.

Direct Access.

De tweede techniek is Direct Access. Deze techniek heeft Microsoft gelanceerd met de komst van Windows 2008 R2 en Windows 7. Net als MIPv6 maakt Direct Access gebruik van IPv6 en IPSec om de VPN tunnel op te bouwen. Hij heeft geen IPv6 tegenhanger, maar met verschillende IPv6 tunneltechnieken is het wel mogelijk om met Direct Access over een IPv4 only netwerk te werken.

De derde generatie is het dus?

De derde generatie VPN klinkt als de ideale VPN technologie. Een VPN technologie die niet vraagt om enige gebruikers interactie. De gebruiker kan op een veilige manier bij al zijn bedrijfsgegevens en het enige wat hij hoeft te doen is zijn PC aanzetten. Toch zijn er twee addertjes onder het gras. Direct Access werkt alleen op Windows 7 en Windows 2008 R2 en er zijn nog weinig MIPv6 implementaties. Ook geldt er voor beide technieken dat je als beheerder eerst de client zal moeten configureren. Als een gebruiker dus in een internetcafé zit is het voor hem niet mogelijk om van deze technieken gebruik te maken. Daarnaast is de toegang weer op de eerste generatie VPN niveau. Gefaseerde toegang is weer een stuk lastiger. Al zien we wel dat deze technieken steeds beter worden en dus ook toegankelijker.

Conclusie

Als we door de generatie VPN technieken heen gaan zien we dat ze steeds gebruiksvriendelijk worden voor de eindgebruiker. De eerste VPN clients moesten nog worden geconfigureerd op de desktop. Bij de laatste VPN clients wordt de VPN in zijn geheel op machine niveau geconfigureerd. Welke is dan de beste. Die vraag is niet eenduidig te beantwoorden.

De eerste generatie VPN technieken is ideaal voor Site to Site VPN. In dit soort situaties heb je als beheerder de behoefte aan een stabiele en “eenvoudige” VPN techniek. Deze moet altijd aan staan en heeft niet te maken met gefaseerde toegang of “roaming users” die inloggen in een internetcafé. In dit soort situaties gaat het juist om verschillende locaties die je aan elkaar wilt koppelen door middel van een VPN. Device en software, zoals de Threat Management Gateway zullen gebruikt worden voor deze VPN technologie.

De tweede generatie VPN technieken zal gebruikt worden door gebruikers die niet de beschikking hebben over een “eigen” client. Als een gebruiker vanaf een openbare plek, zoals een internetcafé, toegang wil krijgen tot zijn bedrijfsgegevens dan is een SSL-VPN op basis van een portal, zoals de Unified Access Gateway, een mooie oplossing. De beheerder kan heel nauwkeurig bepalen tot in hoeverre een gebruiker toegang krijgt. Welke gegevens mag hij wel benaderen en welke niet en de gebruiker kan vanaf elke browser en elk OS toegang krijgen.

De derde generatie VPN is de oplossing voor je laptop. Als gebruiker heb je altijd connectie, als je een internet verbinding heb. Als beheerder kun je laptops goed beheren en onderhouden zonder dat een gebruiker regelmatig aanwezig moet zijn. Ook hier kun je de Threat Management Gateway of de Unified Access Gateway inzetten. Vooral de laatste biedt veel voordelen als Direct Access gateway.

Martijn Bellaard

Web Protection in TMG

Martijn Bellaard — Mon, 02 Nov 2009 20:03:59 GMT

Binnen elke organisatie kunnen gebruikers vandaag de dag internet op. Nu is internet niet een ongevaarlijke plaats om te zijn. Er zijn nogal wat risico’s verbonden aan het surfen op internet. De TMG heeft een aantal mechanismes om de gebruiker te beschermen tijdens zijn bezoek op internet. In deze blog wil ik stil staan bij de verschillende technieken die TMG gebruikt om de gebruiker te beschermen.

Malware Inspection

Bij het bezoeken van internet zullen gebruikers, naast het bezoeken van websites, ook zaken willen downloaden. Soms zijn dit onschuldige zaken, zoals een foto van hun schoonmoeder, en soms is dat het niet, zoals een stukje software.

De TMG heeft een ingebouwde antivirus engine. Op het moment dat een gebruiker een download opdracht geeft zal deze eerst op de TMG gedownload worden. Deze controleert de download op de aanwezigheid van een virus. Is deze niet aanwezig, dan kan de gebruiker de download lokaal opslaan.

URL Filtering

Het idee achter URL filtering is niet nieuw. De mogelijkheid om speciale URLs te blokken of juist toe te staan kennen we ook al uit de ISA server. Het grootste probleem bij veel van deze methodes is dat je zelf als beheerder dan de filter up-to-date moet houden. In de TMG wordt dit gedaan door de Microsoft Reputation Service. Er zijn verschillende categorieën die gebruikt kunnen worden. Hieronder vallen categorieën zoals Porno, Botnets, Games, Free Hosting enzovoort. Als beheerder kun je dan aangeven van welke categorie je gebruik wilt maken en van welke niet.

HTTP Filtering

HTTP is een protocol dat nogal wat toelaat. Zo kun je via HTTP websites opvragen, webapplicaties gebruiken (bijv webmail) en downloaden/uploaden. Doordat er veel verschillende type verkeer via HTTP binnen kan komen wil je dit misschien wel beperken. Dit kun je doen met HTTP filtering. Met HTTP filtering kun je bepalen welk HTTP verkeer je wel wilt toestaan en welk http verkeer niet. Bijvoorbeeld het verbieden van de POST op een speciale website, of het downloaden van *.avi bestanden van een andere website.

Network Inspection System (NIS)

NIS is een onderdeel van Intrusion Prevention System (ISP) van de TMG. NIS inspecteert alle web requests van elke gebruiker op bekende aanvallen. Aanvallen die via een webrequest worden uitgevoerd op de gebruikers werkplek. Dit soort aanvallen worden verstopt in een HTTP request. De betreffende HTTP request zorgt er voor dat de gebruikers browser iets gaat doen wat we niet willen. NIS houdt dit soort bedreigingen bij de poort tegen. Elk request van een gebruiker wordt door de NIS geïnspecteerd op de bekende bedreigingen.

HTTPS Filtering

Wat we tegenwoordig steeds vaker zien is dat een “foute” website over HTTPS gaat werken. Het voordeel hiervan (voor de hacker) is dat onze inspectie systemen (zoals de TMG) er niet in kunnen kijken. Erg slim dus, want op die manier komen virussen en hackers toch binnen. In de TMG hebben ze dit opgelost met HTTPS filtering. De TMG terminate de SSL verbinding. Hij krijgt dan leesbaar HTTP verkeer, inspecteert dit en versleutelt het weer richting de browser op de client. Om dit mogelijk te maken zal de TMG tijdens de installatie een eigen certificaat creëren of je wijst hem er eentje toe. Dit certificaat wordt dan gebruikt om al het verkeer richting de cliënt te encrypten.

Conclusie

De Thread Manager Gateway zorgt er voor dat web bedreigingen, zoals virussen, aan de poort tegen gehouden worden. Hierdoor komen deze bedreiging niet langer op het interne netwerk terecht, maar blijven ze daar waar ze horen. Aan de buitenkant van het netwerk.

Windows 2008 IPv6 Ready ? (3)

Martijn Bellaard — Thu, 04 Jun 2009 20:25:25 GMT

In deze (derde) blog over IPv6 ready van Windows 2008 wil ik eens stil staan hoe een operating system zijn IPv6 ready logo verdient en wat Microsoft heeft moeten doen om het IPv6 ready logo te verdienen.

Het verkrijgen van een IPv6 Ready logo gaat in drie verschillende fases (phase). In elke fase worden de eisen hoger wat betreft IPv6 ondersteuning.

Phase-1

In Phase-1 wordt er voornamelijk gekeken naar Basis IPv6 ondersteuning. Hierbij gaat het er om dat een host een minimum aantal IPv6 onderdelen op de juiste manier (volgens de RFC) ondersteunt. Je kunt hierbij denken aan:

IPv6 Header, creëert de host een correcte IPv6 header
IPv6 Neighbor Unreachability Detection, kan de host bijvoorbeeld ontdekken of zijn buurman nog aanwezig is
IPv6 Prefix Discovery, kan de host bijvoorbeeld zijn prefix achterhalen
IPv6 autoconfiguratie, kan de host automatisch een IPv6 adres creëren
ICMPv6, de host moet bijvoorbeeld de juiste IPv6 reactie geven op een Ping request.
Enz.

Een host wordt dus getest op de IPv6 core protocollen. Hierbij wordt er wel een onderscheid gemaakt tussen wat een host moet kunnen en wat een router moet kunnen.

Op http://www.ipv6ready.org/phase-1_approved_list staat een lijst van device en Operating system die het IPv6 Ready Phase 1 logo hebben verdient. Op deze lijst staan de volgende Microsoft Operating Systems:

Windows 2003, deze heeft hem zowel voor host als router gekregen
Windows CE 4.2, alleen host
Windows Vista, alleen Host

Phase-2

Om in aanmerking te komen voor Phase 2 moet je minimaal Phase 1 ondersteunen. Daarnaast worden er een hoop extra eisen gesteld. Een device of operating system kan dan voor één of meerdere eisen een Phase-2 IPv6 Ready logo verdienen. Er wordt dan gekeken naar de volgende protocollen:

IPSec, de host (of router) moet de ESP header van IPSec ondersteunen, maar de AH niet
Network Mobile IPv6
IKE versie 2
SNMPv6
Mobile IPv6
DHCPv6
SIP
SNMP

Wordt er in Phase-1 voornamelijk gekeken naar IPv6 core protocol ondersteuning, zien we dat voor Phase-2 er ook gekeken wordt naar nieuwe technieken die zijn ontstaan door IPv6 en de meer advanced procollen.

Ook voor Phase-2 is er een lijst terug te vinden. In deze lijst zie je dat er verschillende onderdelen zijn waarop een IPv6 ready logo verdient kan worden. De volgende Microsoft Operating Systems hebben een IPv6 Ready Logo verdient:

Windows Vista, voor host en IPSec
Windows 2008, voor host en IPSec
Windows Mobile 7, voor host en IPSec

De huidige Windows versies zijn dus goed voorbereid op IPv6 en ik ben dan ook erg benieuwd wat Windows 2008 R2 en Windows 7 gaan krijgen. Vooral de toevoeging van Direct Access kan zorgen voor een extra IPv6 ready logo, want hiermee komt Mobile IPv6 ook beschikbaar op het Windows platform

Phase-3

Phase-3 is er alleen op papier, maar de uitwerking gaat niet verder dan dat IPSec verplicht wordt. Er is dan ook nog geen enkel device of Operating System die een Phase 3 IPv6 Ready logo heeft gekregen.

Conclusie

Windows 2008 (en vista) hebben het phase 2 IPv6 ready logo verdiend. Ze ondersteunen dus niet IPv6 alleen in de basis, maar kunnen ook overweg met wat complexer protocollen zoals IPSec en DHCPv6. Ga je dus aan de slag met IPv6 dan zijn je Windows 2008 server en de Vista werkstations er helemaal klaar voor. Windows 7 en Windows 2008 R2 hebben (nog) niet het IPv6 ready logo gekregen, maar ik ben er van overtuigd dat ze die gaan krijgen.

Voor meer informatie: http://www.ipv6ready.org

Martijn Bellaard

EventID 1054

Martijn Bellaard — Tue, 24 Mar 2009 19:00:00 GMT

Windows cannot obtain the domain controller name for your computer network.

Heb je dat wel ooit eens gehad? Windows XP geïnstalleerd op je (oude) laptop. Lid gemaakt van je domain, komen vervolgens je GPO niet door. Dat is erg vervelend als je bedenkt dat je anti virus software via een GPO wordt geïnstalleerd.

Als ik vervolgens op onderzoek uit ga zie ik een Event ID 1054 melding in de event viewer. Deze melding betekent dat ik geen domain controller heb. Toch wel raar als je op Domain Controller ingelogd bent op je andere monitor. Volgende stap is het bezoeken van google.

Al snel kom ik op de volgende link terecht:

http://support.microsoft.com/kb/324174

Volgens deze pagina zijn mijn IP instelling verkeerd. Een IPConfig leert me snel dat dit niet zo. Verder zoeken maar.
De volgende link die ik vind is:

http://support.microsoft.com/kb/326152/en-us

Cannot connect to domain controller and cannot apply Group Policy with Gigabit Ethernet devices
Maar ik maak gebruik van wireless en dat is geen Gigabit verbinding.

http://support.microsoft.com/kb/840669/en-us
Volgens de KB moet ik het volgende doen:

1. Click Start, click Run, type regedit, and then click OK.

2. Expand the following subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. Right-click Winlogon, point to New, and then click DWORD Value.

4. To name the new entry, type GpNetworkStartTimeoutPolicyValue, and then press ENTER.

5. Right-click GpNetworkStartTimeoutPolicyValue, and then click Modify.

6. Under Base, click Decimal.

7. In the Value data box, type 60, and then click OK.

8. Exit Registry Editor, and then restart the computer.

9. If the Group Policy startup script does not run, increase the value of the GpNetworkStartTimeoutPolicyValue registry entry.

De key die je aanpast bepaalt de timeout value van een policy. Als de computer denkt dat hij in een timeout zit, omdat het erg lang duurt voordat de policy doorkomt, dan kan het gebeuren dat de policy niet doorgevoerd kan worden. Door deze key te verhogen kun je dus de computer opdracht geven langer te wachten.

Tijd om dieper te graven. Je kunt namelijk Group Policy Debugging aanzetten (http://support.microsoft.com/kb/221833 ). De policy debugging zorgt er voor dat er debug informatie over policy processing bewaard wordt. Deze dedug informatie is terug te vinden in de file %Windir%\Debug\UserMode\userenv.log.
Nadat ik de policy debug heb aangezet en de computer gereboot, opende ik de logfile. Uit de logfile bleek vervolgens dat mijn laptop mijn DC probeerde te pingen, maar dat lukte niet en daarom ging hij er vanuit dat de DC niet aanwezig was.

USERENV(1b8.4d0) 09:31:20:269 PingComputer: Second send failed with 11010
USERENV(1b8.4d0) 09:31:20:269 PingComputer: No data available
USERENV(1b8.4d0) 09:31:20:269 ProcessGPOs: DSGetDCName failed with 59

Pingen lukt dus niet, dus snel een CMD geopend en “Ping MijDC” uitgevoerd. Inderdaad kreeg ik geen antwoord. Dat is niet zo raar, want ik had de Windows firewall aangezet. Alles wat ik dus nu nog hoefde te doen was ICMP toelaten. Nadat ik dat gedaan had werkte alles weer naar behoren.

Mocht je dus ooit een tegen een 1054 aanlopen dan weet je wat je moet doen.

Martijn Bellaard

Een ADMT migratie Howto

Martijn Bellaard — Wed, 25 Feb 2009 19:45:59 GMT

Bij een klant doe ik op dit moment een AD migratie van twee domainen naar één domain. We hebben er voor gekozen om de Users te migreren met een ADMT script. In deze blog wil ik eens stil staan bij de script die ik geschreven heb voor mijn klant.

VOORWERK

Voordat het script uitgevoerd kan worden moeten de volgende zaken geregeld zijn:

Opzetten “two way trust” tussen de oude domainen, old1.local en old2.local, en het nieuwe domain nieuwe.local om toegang te krijgen tot alle user accounts.
ADMT installeren,
Het aanmaken van de gebruiker miguser in alle domainen,
Het installeren van de PEN servers op één van de domain controllers in het old1.local domain en in het old2.local domain,

SETUP ADMT

ADMT kan gedownload worden van: Http://www.microsoft.com/downloads/details.aspx?FamilyID=6f86937b-533a-466d-a8e8-aff85ad3d212&displaylang=en
Installeren ADMT 3.0

Ga naar de locatie waar je ADMT 3.0 gedownload hebt en start ADMTSetup.exe op.
Op de Active Directory Migration Tool Installation Wizard scherm klik next
Kies I Agree, Next

MS SQL Server Desktop Engine wordt geïnstalleerd

Op de Database Selection, next
Op de Active Directory Migration Tool v2 Database Import klik next
Klik Finish

Aanmaken Migratie user account

Om users te kunnen migreren moet er in beide domains een account aanwezig zijn met dezelfde naam en wachtwoord. Op die manier is het mogelijk om vanuit het nieuwe domain in te loggen op de oude domain

Maak in alle domeinen (nieuwe.local, old2.local, old1.local) de volgende user aan: Username: Miguser Password: **************
Maak deze user lid van domain admins. Hij moet alle accounts kunnen aanmaken en heeft dus de juiste rechten nodig. Je kunt ook kiezen om te werken met delegation of control en de account alleen rechten geven op de juiste OU. Disable of verwijder dit account na de migratie.
Maak de user nieuwe.local\miguser lid van de old1.local\administrators groep en old2.local\administrators groep. Net als bij 2 moet het account bij alle user in het oude domain kunnen

Setup Password Export Server

De Password Export Server (PES) zorgt er voor dat het ADMT script de wachtwoorden van alle users kan migreren naar het nieuwe domain. Hiervoor moet service dus als super-super-super user toegang hebben tot het AD. Dit maakt het dus security technisch een zeer gevaarlijke service die pas gestart mag worden als de migratie begint.
Als eerste zul je een key moeten maken voor het oude domain in het nieuwe domain
1.    Log aan op de DC waarop ADMT 3.0 is geïnstalleerd
2.    Open een CMD
3.    Ga naar de directory c:\Windows\Admt\PES
4.    Run het volgende commando voor het Old2.local domain: Admt key /option:create /sourcedomain:old2.local/keyfile:c:\windows\admt\pes\geminikey /pwd:*<enter>
5.    Hij vraagt nu om een wachtwoord. Deze heb je zo weer nodig dus noteer hem
6.    Kopieer de inhoud van de directory c:\windows\admt\pes naar een domain controller van het old2.localdomain onder c:\pes.
7.    Log nu aan op een domain controller van het old2.localdomain
8.    Open een CMD
9.    Ga naar de directory c:\pes
10.    Run Pwdmig.msi
Nu ga je PES service installeren in het oude domain.
11.    Klik Next
12.    Op de Encryption File browse naar c:\pes en selecteer geminikey.pes bestand
13.    Klik Open
14.    Klik Next
15.    Voer het wachtwoord in.
16.    Klik Next
17.    Op de ADMT Password Migration DLL kies je als service account old2.local\miguser
18.    Herstart de domain controller.
19.    Na de restart moet je de Password Export Server Service starten. Deze staat standaard op manual.
Herhaal fase voor elke domain dat je migreerd naar het nieuwe domain

MIGRATIE SCRIPT

Voor de migratie van de user wordt er gebruik gemaakt van een script. Aan het einde van de blog staat de uitdraai van het script. Maar eerst wordt er een uitleg gegeven over het script en hoe het script gedraaid dient te worden.

SCRIPT UITLEG

Het script is bedoeld om de user account vanuit het source domain te migreren naar een nieuwe target domain inclusief de wachtwoorden van user accounts. In de onderstaande tabel staat een uitleg van het script per regel.
!!! LET OP!!! Alleen daar aanpassing doen als er in de tabel staat dat het mag. In elke ander situatie kan dit leiden tot een niet werkend script.
regel Uitleg

Regel	Uitleg
1	Option Explicit zorgt er voor dat elke variabel gedefinieerd MOET worden, voordat hij gebruikt mag worden. Hierdoor worden eventuele tik fouten voorkomen
3 t/m 105	In deze regels staan een aantal constanten gedefinieerd. Aanpassing in deze regels kunnen er voor zorgen dat het script niet langer werkt.
106-122	Variables definities
123-166	Aanmaken en openen van de logfiles De migratie log is terug te vinden onder C:\Scripts\Reports\Miglog.csv De Error log is terug te vinden onder C:\Scripts\Reports\MigErrorlog.csv
166-189	Aanmaken van het Migratie object. Dit object is noodzakelijk om te kunnen migreren. De volgende waardes mogen worden aangepast: objMigration.SourceDomain = Source domain objMigration.SourceDomainController = Source DC objMigration.SourceOU = Source OU waar de te migreren gebruikersaccount in staan. Ook eventuele users in child OUs zullen meegenomen worden. objMigration.PasswordServer = De DC waar de PES service op geïnstalleerd is
190-207	Aanmaken van het user migratie object. Je hebt in regel 166 t/m 189 het migratie object gemaakt. Je defineert nu een child om de user te migreren. Op dezelfde manier kun je ook groepen en een computer migreren.
208-209	Deze regel start de daadwerkelijke migratie.
212-230	Aanmaken van een HTML report. Deze is terug te vinden in c:\Scripts\Reports
231-237	Deze regels copiëren de password vanuit het source domain naar de target domain
238-268	Afsluiten van de logfiles
269-einde	Migratie event handling.

DRAAIEN VAN HET SCRIPT

Als het script aan je wensen is aangepast kun je beginnen met het draaien van het script
1.    Maak de directory c:\scripts en c:\scripts\reports aan op de DC waarop ADMT is geïnstalleerd.
2.    Kopieer de regels aan het einde van de blog naar notepad.
3.    Pas de regels 166-189 aan, zodat het juiste source domain, source ou en target ou vermeld staat.
4.    Sla dit bestand op als Migusersourcedomain.vbs
5.    Open een CMD
6.    Run het volgende commando: runas /user:miguser cmd.exe <enter> en voer het juiste wachtwoord in.
7.    Je krijgt nu een nieuwe CMD. Voer de volgende stappen uit in deze CMD
8.    Ga naar c:\scripts
9.    Voer het volgende commando in cscript migusersourcedomain.vbs <enter>
De migratie wordt nu uitgevoerd. Afhankelijk van de grote van het domain kan dit wel even duren. Pak rustig een bak koffie of twee of drie of ……. Bestudeer na afloop de logfiles in c:\script\reports voor eventuele accounts die niet goed gegaan zijn.

SCRIPT

Vanaf NU vind je HET script. Copieren en in notepad plakken. Veel plezier met het script.

Martijn Bellaard

1.    Option Explicit
2.    '----------------------------------------------------------------------------
3.    ' ADMT Scripting Constants
4.    ' Niet aanpassen en niet aankomen
5.    '----------------------------------------------------------------------------
6.    ' PasswordOption constants
7.    Const admtComplexPassword        = &H0001
8.    Const admtCopyPassword                         = &H0002
9.    Const admtDoNotUpdatePasswordsForExisting       = &H0010
10.    ' ConflictOptions constants
11.    Const admtIgnoreConflicting                  = &H0000
12.    Const admtMergeConflicting                        = &H0001
13.    Const admtRemoveExistingUserRights            = &H0010
14.    Const admtRemoveExistingMembers               = &H0020
15.    Const admtMoveMergedAccounts                  = &H0040
16.    ' DisableOption constants
17.    Const admtLeaveSource                    = &H0000
18.    Const admtDisableSource                  = &H0001
19.    Const admtTargetSameAsSource             = &H0000
20.    Const admtDisableTarget                  = &H0010
21.    Const admtEnableTarget                   = &H0020
22.    ' SourceExpiration constant
23.    Const admtNoExpiration = -1
24.    ' Translation Option
25.    Const admtTranslateReplace     = 0
26.    Const admtTranslateAdd         = 1
27.    Const admtTranslateRemove      = 2
28.    ' Report Type
29.    Const admtReportMigratedAccounts      = 0
30.    Const admtReportMigratedComputers = 1
31.    Const admtReportExpiredComputers      = 2
32.    Const admtReportAccountReferences     = 3
33.    Const admtReportNameConflicts        = 4
34.    ' Option constants
35.    Const admtNone             = 0
36.    Const admtData             = 1
37.    Const admtFile             = 2
38.    Const admtDomain           = 3
39.    Const admtRecurse               = &H0100
40.    Const admtFlattenHierarchy      = &H0000
41.    Const admtMaintainHierarchy     = &H0200
42.    ' Event related constants
43.    ' Progress type
44.    Const admtProgressObjectMigration      = 0
45.    Const admtProgressntDispatch         = 1
46.    Const admtProgressntOperation    = 2
47.    Const admtProgressMailboxMigration = 3
48.    ' Event type
49.    Const admtEventNone                             = 0
50.    Const admtEventObjectInputPreprocessed          = 1
51.    Const admtEventTaskStart                        = 2
52.    Const admtEventTaskFinish                       = 3
53.    Const admtEventObjectProcessed                  = 4
54.    Const admtEventGroupMembershipProcessed         = 5
55.    Const admtEventntStatusUpdate              =6
56.    Const admtEventntNotStarted         = 7
57.    Const admtEventntFailedToStart         = 8
58.    Const admtEventntWaitingForReboot     = 9
59.    Const admtEventntRunning         = 10
60.    Const admtEventntCancelled         = 11
61.    Const admtEventntPassed         = 12
62.    Const admtEventntFailed         = 13
63.    Const admtEventntWaitingForRetry     = 14
64.    Const admtEventntSuccessful         = 15
65.    Const admtEventntCompletedWithWarnings     = 16
66.    Const admtEventntCompletedWithErrors     = 17
67.    Const admtEventTaskLogSaved         = 18
68.    Const admtntPreCheckPhase         = &H100
69.    Const admtntntOperationPhase     = &H200
70.    Const admtntPostCheckPhase         = &H300
71.    Const admtntStatusMask         = &HFF
72.    Const admtntPhaseMask         = &H300
73.    ' Status type
74.    Const admtStatusSuccess       = 0
75.    Const admtStatusWarnings     = 1
76.    Const admtStatusErrors        = 2
77.    'Extra Const made by Martijn Bellaard PQR
78.    Const strLogFile     = "C:\Scripts\Reports\Miglog.csv"
79.    Const strErrorLogFile     = "C:\Scripts\Reports\MigErrorlog.csv"
80.    Const Forwriting     = true
81.    '----------------------------------------------------------------------------
82.    ' Declarations
83.    '----------------------------------------------------------------------------
84.    Dim objMigration
85.    Dim objUserMigration
86.    Dim objGroupMigration
87.    Dim objComputerMigration
88.    Dim objSecurityTranslation
89.    Dim objServiceAccountEnumeration
90.    Dim objPasswordMigration
91.    Dim objFSO
92.    Dim objLogfile
93.    Dim objErrorLogFile
94.    Dim lngStatusType
95.    lngStatusType = 0
96.    '----------------------------------------------------------------------------
97.    ' Create Logfile
98.    ' Add by Martijn Bellaard PQR
99.    '----------------------------------------------------------------------------
100.    'create instance of file system object
101.    Set objFSO = CreateObject("Scripting.FileSystemObject")
102.    'Create Log file
103.    Set objLogFile = objFSO.CreateTextFile(strLogFile, Forwriting)
104.    Set objErrorLogFile = objFSO.CreateTextFile(strErrorLogFile, Forwriting)
105.    'Set time and date in logfile and screen
106.    Objlogfile.write "========================================="
107.    objLogfile.writeline
108.    Objlogfile.write "Start date:" & Date & "Start Time:"& Time
109.    objLogfile.writeline
110.    Objlogfile.write "OLD to NEW log "
111.    objLogfile.writeline
112.    Objlogfile.write "========================================="
113.    objLogfile.writeline
114.    Objlogfile.write "Progress,Started,Finished,Failed,"
115.    objLogfile.writeline
116.    ObjErrorlogfile.write "========================================="
117.    objErrorLogfile.writeline
118.    ObjErrorlogfile.write "Start date:" & Date & "Start Time:"& Time
119.    objErrorLogfile.writeline
120.    ObjErrorlogfile.write "OLD to NEW log "
121.    objErrorLogfile.writeline
122.    ObjErrorlogfile.write "========================================="
123.    objErrorLogfile.writeline
124.    ObjErrorlogfile.write "Object, Statusnummer,"
125.    objErrorLogfile.writeline
126.    wscript.echo "========================================="
127.    wscript.echo "Start date:" & Date & "Start Time:"& Time
128.    wscript.echo "OLD to NEWlog" & strLogfile
129.    wscript.echo "========================================="
130.    '----------------------------------------------------------------------------
131.    ' ADMT Migration Class
132.    '----------------------------------------------------------------------------
133.    ' create instance of migration object
134.    Set objMigration = wscript.CreateObject("ADMT.Migration", "Task_")
135.    ' set options
136.    objMigration.IntraForest = False
137.    objMigration.SourceDomain = "old1.local"
138.    objMigration.SourceDomainController = "SourceDC.old1.local"
139.    objMigration.SourceOU = "Medewerkers"
140.    objMigration.TargetDomain = "nieuwe.local"
141.    objMigration.TargetDomainController = "TargetDC.nieuwe.local"
142.    objMigration.TargetOU = "Import "
143.    objMigration.PasswordOption = AdmtCopyPassword
144.    objMigration.PasswordServer = "SourceDC.old1.local"
145.    objMigration.ConflictOptions = admtMergeConflicting + admtRemoveExistingUserRights + admtRemoveExistingMembers
146.    objMigration.AdmtEventLevel = admtStatusErrors
147.    '----------------------------------------------------------------------------
148.    ' UserMigration Class
149.    '----------------------------------------------------------------------------
150.    ' create instance of user migration object
151.    Set objUserMigration = objMigration.CreateUserMigration
152.    'set options
153.    objUserMigration.DisableOption = admtDisableTarget
154.    objUserMigration.SourceExpiration = admtNoExpiration
155.    objUserMigration.MigrateSIDs = False
156.    objUserMigration.TranslateRoamingProfile = False
157.    objUserMigration.UpdateUserRights = False
158.    objUserMigration.MigrateGroups = False
159.    objUserMigration.UpdatePreviouslyMigratedObjects = False
160.    objUserMigration.FixGroupMembership = False
161.    objUserMigration.MigrateServiceAccounts = False
162.    ' migrate user accounts
163.    objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
164.    '----------------------------------------------------------------------------
165.    ' ReportGeneration Class
166.    '----------------------------------------------------------------------------
167.    ' create instance of report generation object
168.    DIM objReportGeneration
169.    Set objReportGeneration = objMigration.CreateReportGeneration
170.    ' set options
171.    objReportGeneration.AutoPreCheckRetry = True
172.    objReportGeneration.AutoPreCheckRetryInterval = 30
173.    objReportGeneration.AutoPreCheckRetryNumber = 48
174.    ' generate report
175.    objReportGeneration.Type = admtReportMigratedAccounts
176.    objReportGeneration.Folder = "C:\scripts\Reports\"
177.    objReportGeneration.Generate admtNone
178.    '----------------------------------------------------------------------------
179.    ' PasswordMigration Class
180.    ' - Note: The source domain and OU will be used if not explicitly specified
181.    '----------------------------------------------------------------------------
182.    ' create instance of password migration object
183.    Set objPasswordMigration = objMigration.CreatePasswordMigration
184.    'Last line
185.    'Set time and date in logfile and screen
186.    Objlogfile.write "========================================="
187.    objLogfile.writeline
188.    Objlogfile.write "End date:" & Date & "End Time:"& Time
189.    objLogfile.writeline
190.    Objlogfile.write "End logfile "
191.    objLogfile.writeline
192.    Objlogfile.write "========================================="
193.    objLogfile.writeline
194.    ObjErrorlogfile.write "========================================="
195.    objErrorLogfile.writeline
196.    ObjErrorlogfile.write "End date:" & Date & "End Time:"& Time
197.    objErrorLogfile.writeline
198.    ObjErrorlogfile.write "End logfile "
199.    objErrorLogfile.writeline
200.    ObjErrorlogfile.write "========================================="
201.    objErrorLogfile.writeline
202.    wscript.echo "========================================="
203.    wscript.echo "End date:" & Date & "End Time:"& Time
204.    wscript.echo "Finish OLD to OLD"
205.    wscript.echo "========================================="
206.    Objlogfile.close
207.    objerrorLogFile.close
208.    ' -----------------------------------------------------------------------------
209.    ' Progress event handler
210.    '   lngProgressType: progress type (admtProgress*)
211.    '   lngStarted:      the number of started operations
212.    '   lngFinished:     the number of finished operations
213.    '   lngFailed:       the number of failed operations
214.    ' -----------------------------------------------------------------------------
215.    Sub Task_Progress(lngProgressType, lngStarted, lngFinished, lngFailed)
a.    wscript.echo "Progress: " & lngProgressType & " Started: " & lngStarted & " Finished: " & lngFinished & " Failed:" & lngFailed
b.    Objlogfile.write lngProgressType & "," & lngStarted & "," & lngFinished & "," & lngFailed & ","
c.    objLogfile.writeline
216.    End Sub
217.    ' -----------------------------------------------------------------------------
218.    ' Status event handler
219.    '   lngEventType:    event type (admtEvent*)
220.    '   strObjName:      the name of the object
221.    '   lngStatusType:   status (admtStatus*)
222.    '   objMesss:     an array of messs
223.    ' -----------------------------------------------------------------------------
224.    Sub Task_Status(lngEventType, strObjName, lngStatusType, objMesss)
225.    Dim strMess
a.    wscript.echo "Object: " & strObjName & " Status nummer: " & lngstatusType
b.    if lngStatusType > 0 then
i.    ObjErrorlogfile.write strObjName & "," & lngstatusType & ","
ii.    objErrorLogfile.writeline
c.    end if
226.    End Sub
227.    '   Einde Script
228.    ' ----------------------------------------------------------------------------

Als je nog vragen hebt hoor ik ze graag.
Martijn Bellaard